Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 22.11.2012, 00:09   #1
Nicola123
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Unglücklich

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Hallo freundliche Helfer,

als erstes herzlichen Dank, dass Sie sich meines Problems annehmen und mir helfen!;-)
Gleich vorab, ich bin der totale Laie, versuche aber alles so gut wie möglich zu beschreiben!

Als ich heute ganz gemütlich im Internet surfte, zeigte mir plötzlich mein Antivir- Programm die Nachricht "Spamware gefunden" oder ähnliches an. Wie immer drückte ich auf Details und dann auf löschen.
Normalerweise wars das dann auch. Aber heute kamen immer wieder Meldungen über sehr ähnliche Trojaner/ Viren, ca in einem 10- Minütigen Abstand.
Wie bereits oben beschrieben, waren es verschiedene Trojaner, ich nenne nochmals die Namen:
TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.
Am häufigsten war/en es der/die TR/ATRAPS.Gen und TR/ATRAPS.Gen2.

Nachdem ich nun "OTL" und die Programme aus euren Schritten heruntergeladen habe, kommen die Meldungen nicht mehr.
Hierzu gleich eine Frage:
Der Bericht zeigte 11 Funde an. Als ich jedoch das Fenster zum auswählen und löschen öffnete, wurden viel mehr Funde angezeigt. Diese zusätzlichen waren allerdings nicht markiert. Ich war nun nicht sicher, ob ich diese zusätzlich zu den 11 markieren und mitlöschen soll. (Sieht der Profi bestimmt im Bericht, dass ich die nicht gelöscht habe;-) )
HÄTTE ICH DIE AUCH LÖSCHEN SOLLEN, ODER?

Hier nun die versch. Berichte (leider extrem lang, war mein PC schon vorher extrem "verunreinigt"?! Oje;-( ):

1,)
OTL.txt

Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.21.08

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19328
Nicola :: NICOLAS-PC [Administrator]

Schutz: Deaktiviert

21.11.2012 21:45:40
mbam-log-2012-11-21 (21-45-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 201161
Laufzeit: 18 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCR\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-129872198372} (PUP.LoadTubes) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\loadtbs-3.0 (PUP.LoadTubes) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{DFEFCDEE-CF1A-4FC8-88AD-129872198372} (PUP.LoadTubes) -> Daten: îÍïßÏÈOˆ*˜rƒr -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{DFEFCDEE-CF1A-4FC8-88AD-129872198372} (PUP.LoadTubes) -> Daten: -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-21-2069562770-894574349-3162454710-1000\$0562903115ccb3dfa3df26d8b3126788\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 3
C:\Users\Nicola\AppData\Roaming\loadtbs (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\chrome@loadtubes.com (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\html (PUP.LoadTubes) -> Keine Aktion durchgeführt.

Infizierte Dateien: 29
C:\Users\Nicola\AppData\Roaming\loadtbs\toolbar.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\ytdl.exe (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\Documents\Downloads\pantsoff.exe (PUP.Pantsoff.PasswordFinder) -> Keine Aktion durchgeführt.
C:\Program Files\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Local\Temp\1a3d9b37655eeb2f9bea641ce230178f\data\npm.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Local\Temp\1a3d9b37655eeb2f9bea641ce230178f\data\tb.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Local\Temp\1a3d9b37655eeb2f9bea641ce230178f\data\ytdl.exe (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\keyHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\config.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\domHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\evHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\license.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\uninstall.exe (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\updateHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\chrome@loadtubes.com\background.html (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\chrome@loadtubes.com\background.js (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\chrome@loadtubes.com\download.js (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\chrome@loadtubes.com\fire.js (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\chrome@loadtubes.com\manifest.json (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\html\dimensions.ini (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\html\install.html (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\html\uninstall.html (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Nicola\AppData\Roaming\loadtbs\html\uninstallComplete.html (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-21-2069562770-894574349-3162454710-1000\$0562903115ccb3dfa3df26d8b3126788\n (Trojan.0Access) -> Löschen bei Neustart.
c:\windows\syshost.exe (Trojan.Downloader) -> Löschen bei Neustart.
c:\users\nicola\appdata\local\temp\syshost.exe (Spyware.Agent) -> Löschen bei Neustart.
c:\windows\serviceprofiles\localservice\appdata\local\temp\syshost.exe (Spyware.Agent) -> Löschen bei Neustart.
c:\windows\serviceprofiles\networkservice\appdata\local\temp\syshost.exe (Spyware.Agent) -> Löschen bei Neustart.
c:\windows\temp\syshost.exe (Spyware.Agent) -> Löschen bei Neustart.

(Ende)



2.)
EXTRAS.txtOTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 21.11.2012 22:35:40 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Nicola\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19328)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 1,74 Gb Available Physical Memory | 58,14% Memory free
6,21 Gb Paging File | 4,86 Gb Available in Paging File | 78,29% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 185,31 Gb Total Space | 14,54 Gb Free Space | 7,85% Space Free | Partition Type: NTFS
 
Computer Name: NICOLAS-PC | User Name: Nicola | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = ChromeHTML] -- C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
 
[HKEY_USERS\S-1-5-21-2069562770-894574349-3162454710-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
https [open] -- "C:\Program Files\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
jsfile [edit] -- "C:\Program Files\Macromedia\Dreamweaver 8\dreamweaver.exe" "%1" (Macromedia, Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\m\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\m\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0A97114A-BC5D-4765-8AF5-FF9736B1C9C9}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{0AB26016-A4F6-46C7-BD6E-4E4671A6675F}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office12\outlook.exe | 
"{27394D23-1CD3-489C-9920-AED098474E25}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{81A78E46-41A6-4C3B-B4B3-0A6291A0641C}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{89367271-BB2D-4EE9-B639-270A539EABE6}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{89939B12-B5E1-4726-9138-5BB300B7BF0B}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{BCD86DDC-F8ED-4A80-AC3E-7CAC4559A434}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{DC77BEC0-1F15-404B-B168-DAE816DADBB6}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{E3ACA58E-8949-4856-BE59-1B2AC635EF2D}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{10CE48C5-25B7-4D22-B284-7867ED04E33F}" = protocol=6 | dir=in | app=c:\windows\system32\supdsvc.exe | 
"{1F9F21C8-3862-4482-AE8C-C5DCD5D80247}" = protocol=17 | dir=in | app=c:\windows\system32\supdsvc.exe | 
"{23AD5392-79AF-4F6F-8CC5-ADDB9E79C3D8}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{2E6DBEFB-CE37-4F52-BA08-0380D3E619CE}" = protocol=6 | dir=in | app=c:\program files\itunes\itunes.exe | 
"{42A759C7-1169-4FA1-BDE3-2B23DF21A79B}" = dir=out | name=core networking - system ip core | 
"{599753AE-F135-4BCD-ABA8-DBDC7709FE0A}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"{8F63B036-2224-4B79-949C-137AFEB1AC3C}" = dir=in | name=core networking - system ip core | 
"{938B334F-9BD6-43A8-84D9-B051A3B2B09F}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{A3E10D8C-A879-4D91-A659-0911A20F8811}" = protocol=17 | dir=in | app=c:\program files\itunes\itunes.exe | 
"{C3F2A547-F63A-4001-BC85-554AC17AFFAA}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{D2E1FD2B-314C-426E-A4AD-0992473354B1}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"{F6A23CE5-2EF5-479D-8F94-82DA58139365}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"TCP Query User{387936D4-16CF-4110-9089-8E843A924E8F}C:\program files\counter-strike source\hl2.exe" = protocol=6 | dir=in | app=c:\program files\counter-strike source\hl2.exe | 
"TCP Query User{68795503-B4D9-4AD5-B91E-4918BCD9EFF5}C:\program files\limewire\limewire.exe" = protocol=6 | dir=in | app=c:\program files\limewire\limewire.exe | 
"TCP Query User{75A743C4-3EE6-45CE-8FC3-B4B77E860CFD}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
"TCP Query User{C224C6D2-780E-4090-8534-DFE22BFBCE13}C:\program files\ea games\battlefield 1942\bf1942.exe" = protocol=6 | dir=in | app=c:\program files\ea games\battlefield 1942\bf1942.exe | 
"TCP Query User{D9C678AD-2003-4C04-9D90-36A18F503279}C:\program files\ea games\battlefield 1942\bf1942_w32ded.exe" = protocol=6 | dir=in | app=c:\program files\ea games\battlefield 1942\bf1942_w32ded.exe | 
"TCP Query User{E2098786-298B-4EA9-B051-FF0985EE8044}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{F9BFE203-2A69-48EE-BFA6-E83C5AA01207}C:\users\nicola\desktop\spiele\vba link\visualboyadvance.exe" = protocol=6 | dir=in | app=c:\users\nicola\desktop\spiele\vba link\visualboyadvance.exe | 
"UDP Query User{137D3FAD-08D4-44C9-AE3F-A99F6223E656}C:\program files\limewire\limewire.exe" = protocol=17 | dir=in | app=c:\program files\limewire\limewire.exe | 
"UDP Query User{1CDDDFC4-368C-4C85-8FBE-00686D5FD666}C:\program files\ea games\battlefield 1942\bf1942_w32ded.exe" = protocol=17 | dir=in | app=c:\program files\ea games\battlefield 1942\bf1942_w32ded.exe | 
"UDP Query User{2498217A-1C04-47F6-968A-BD47FDB2D32F}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{76FD9220-6521-46B4-AB3F-7F477108FF32}C:\program files\ea games\battlefield 1942\bf1942.exe" = protocol=17 | dir=in | app=c:\program files\ea games\battlefield 1942\bf1942.exe | 
"UDP Query User{7B6A4709-7C32-419C-B8AB-DA528D056C45}C:\program files\counter-strike source\hl2.exe" = protocol=17 | dir=in | app=c:\program files\counter-strike source\hl2.exe | 
"UDP Query User{8FDA5CA2-7820-476A-9928-29E315C9C32B}C:\users\nicola\desktop\spiele\vba link\visualboyadvance.exe" = protocol=17 | dir=in | app=c:\users\nicola\desktop\spiele\vba link\visualboyadvance.exe | 
"UDP Query User{AF01DF97-1E78-4C51-BAED-5D110548B245}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{0F022A2E-7022-497D-90A5-0F46746D8275}" = Macromedia Extension Manager
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1632FD86-1BA4-4FC4-8B25-A8C655D63F68}" = Sid Meier's Pirates!
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1D301950-EA2F-4882-9AA0-49467756842A}" = SweetIM for Messenger 3.3
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java(TM) 6 Update 26
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{2BAA27B6-F39E-490B-8D41-84A32D234D70}" = GiPo@FileUtilities 3.2
"{2DFF2906-52BB-4222-8062-1509259FC013}" = GUN (TM)
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{44025BD7-AD10-4769-99AE-6378FD0303D6}" = Macromedia Dreamweaver 8
"{4640FDE1-B83A-4376-84ED-86F86BEE2D41}" = Driver Detective
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4C24A8C1-7CFA-4650-AF15-732F5BD7B46D}" = Macromedia Fireworks 8
"{56582EEA-3AEF-4D84-8B9D-C87A3CD9250F}" = GetDataBack for NTFS
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}" = Battlefield 1942
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7AB3A249-FB81-416B-917A-A2A10E74C503}" = iTunes
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{81717D01-32F6-449C-85E1-41AFD678E545}" = LG Intelligent Update
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{91120000-002E-0000-0000-0000000FF1CE}" = Microsoft Office Ultimate 2007
"{9559F7CA-5E34-4237-A2D9-D856464AD727}" = Project64 1.6
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A116D023-A3BC-4C70-A8B8-9FE77850F0D9}" = Moorhuhn Wanted XXL
"{A3365448-B694-468D-BBF0-D7A4CCDF955F}" = BlackBerry® Media Sync
"{A804B134-F03D-4EFD-9BC0-DCD257AA1B22}" = Hitman Blood Money
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{AFAC914D-9E83-4A89-8ABE-427521C82CCF}" = Safari
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{BA165460-FCF7-4D6C-A7A2-F2321700720F}" = MobileMe Control Panel
"{BC4AE628-81A4-4FC6-863A-7A9BA2E2531F}" = Nokia Connectivity Cable Driver
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0D3C193-7052-4DE4-8BF4-3954D2021FF2}" = Moorhuhn X - XXL
"{D777D80E-13AE-4E6C-BCB2-9AEE10D9DEF1}" = Driver Updater
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{EC1F15E1-F3CC-46EE-B7A5-849A08ED60DC}}_is1" = PantsOff 2.0
"{EF85141C-7980-4CB4-B19D-7680731135EC}" = BlackBerry Desktop Software 5.0
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Alice" = Alice-Installationsdateien entfernen
"Ashampoo Burning Studio 6 FREE_is1" = Ashampoo Burning Studio 6 FREE v.6.80
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AviSynth" = AviSynth 2.5
"BlackBerry_{EF85141C-7980-4CB4-B19D-7680731135EC}" = BlackBerry Desktop Software 5.0
"DAEMON Tools Lite" = DAEMON Tools Lite
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8
"Google Chrome" = Google Chrome
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ImgBurn" = ImgBurn
"InstallShield_{1632FD86-1BA4-4FC4-8B25-A8C655D63F68}" = Sid Meier's Pirates!
"InstallShield_{2DFF2906-52BB-4222-8062-1509259FC013}" = GUN (TM)
"loadtbs-3.0" = loadtbs-3.0
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 16.0.2 (x86 de)" = Mozilla Firefox 16.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MyAshampoo Toolbar" = MyAshampoo Toolbar
"MyVideoConverter" = MyVideoConverter 2.405
"NimoCorp" = Nimo Codecs Pack v5.0 (Remove Only)
"QuickPar" = QuickPar 0.9
"ratDVD" = ratDVD 0.78.1444
"RealPlayer 12.0" = RealPlayer
"Samsung ML-1640 Series" = Samsung ML-1640 Series
"ULTIMATER" = Microsoft Office Ultimate 2007
"Uninstall_is1" = Uninstall 1.0.0.1
"UseNeXT_is1" = UseNeXT
"VLC media player" = VLC media player 1.0.5
"Wii Video 9" = Wii Video 9 5.04
"WinRAR archiver" = WinRAR
"Xilisoft 3GP Video Converter" = Xilisoft 3GP Video Converter
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2069562770-894574349-3162454710-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 21.11.2012 16:58:14 | Computer Name = Nicolas-PC | Source = VSS | ID = 12289
Description = 
 
Error - 21.11.2012 16:58:18 | Computer Name = Nicolas-PC | Source = VSS | ID = 12289
Description = 
 
Error - 21.11.2012 16:58:20 | Computer Name = Nicolas-PC | Source = VSS | ID = 12289
Description = 
 
Error - 21.11.2012 16:58:23 | Computer Name = Nicolas-PC | Source = VSS | ID = 12289
Description = 
 
Error - 21.11.2012 16:58:23 | Computer Name = Nicolas-PC | Source = VSS | ID = 12289
Description = 
 
Error - 21.11.2012 16:58:30 | Computer Name = Nicolas-PC | Source = VSS | ID = 12289
Description = 
 
Error - 21.11.2012 16:58:36 | Computer Name = Nicolas-PC | Source = VSS | ID = 12289
Description = 
 
Error - 21.11.2012 17:17:33 | Computer Name = Nicolas-PC | Source = VSS | ID = 8194
Description = 
 
Error - 21.11.2012 17:18:08 | Computer Name = Nicolas-PC | Source = Microsoft-Windows-CAPI2 | ID = 131585
Description = 
 
Error - 21.11.2012 17:34:22 | Computer Name = Nicolas-PC | Source = Application Hang | ID = 1002
Description = Programm OTL(1).exe, Version 3.2.69.0 arbeitet nicht mehr mit Windows
 zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen
 für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem
 zu suchen.  Prozess-ID: ce0  Anfangszeit: 01cdc82ec1eadf7e  Zeitpunkt der Beendigung:
 0
 
[ OSession Events ]
Error - 08.10.2010 03:42:43 | Computer Name = Nicolas-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 42
 seconds with 0 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 21.11.2012 16:44:50 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 21.11.2012 16:44:52 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 21.11.2012 16:45:14 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 21.11.2012 16:45:27 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 21.11.2012 17:08:26 | Computer Name = Nicolas-PC | Source = DCOM | ID = 10010
Description = 
 
Error - 21.11.2012 17:09:38 | Computer Name = Nicolas-PC | Source = sptd | ID = 262148
Description = Der Treiber hat einen internen Fehler in seinen Datenstrukturen für
  festgestellt.
 
Error - 21.11.2012 17:12:07 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 21.11.2012 17:12:07 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 21.11.2012 17:12:07 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7026
Description = 
 
Error - 21.11.2012 17:18:12 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7034
Description = 
 
 
< End of report >
         
--- --- ---

3.)Leider war es mir nicht möglich, den "Gmer.txt" ( Bei 32 bit Systemen ) durchzuführen, es hieß nach einer Zeit "... funktioniert nicht mehr".
Leider war es mir nicht möglich, dass Antivir zu deaktivieren, wahrscheinlich lags daran? Wie mache ich das denn, ich habe auch in den Hilfeseiten nichts gefunden! SORRY!




So,ich hoffe, ich habe nun alles erfüllt, was ich angeben sollte.
Wie soll ich nun weiter verfahren? Ist es nötig ALLE Passwörter zu ändern? Sind nun alle Trojaner zu 100% eliminiert?

SOLL ICH NUN GLEICH MEINE PASSWÖRTER FÜR EMAIL USW ÄNDERN? Denn ich denke mir, wenn noch jemand Infos von meinem PC zocken kann, dann kann er ja das neue Passwort auch gleich wieder abfangen, oder nicht?

Schonmals vielen Dank im voraus für eure Hilfe!


Grüße,
Nicola

Geändert von Nicola123 (22.11.2012 um 00:15 Uhr)

Alt 22.11.2012, 09:02   #2
ryder
/// TB-Ausbilder
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Wir fangen jetzt erst richtig an!



Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.
Zitat:
Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Wenn du das alles gelesen und verstanden hast, kannst du loslegen!
Schritt 1:
Laufwerksemulationen abschalten mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:
  • Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
  • Defogger wird dich fragen "Defogger will forcefully ... Continue?" bestätige dies mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Poste bitte die defogger_disable.txt von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.
Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
Schritt 3:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe
  • Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
  • Drücke Start Scan
  • Warnung:
    Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
    Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt
Poste den Inhalt bitte hier in deinen Thread.
__________________

__________________

Alt 22.11.2012, 13:50   #3
Nicola123
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Erstmal vielen Dank für deine Hilfe!

Alles erledigt, hier nun die Berichte:

1.)
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:03 on 22/11/2012 (Nicola)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=-
         

2.)
Code:
ATTFilter
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-22 13:08:57
-----------------------------
13:08:57.428    OS Version: Windows 6.0.6002 Service Pack 2
13:08:57.428    Number of processors: 2 586 0xF0D
13:08:57.428    ComputerName: NICOLAS-PC  UserName: Nicola
13:09:32.169    Initialize success
13:10:55.157    AVAST engine defs: 12112200
13:11:22.114    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4
13:11:22.114    Disk 0 Vendor: FUJITSU_MHY2200BH 0000000B Size: 190782MB BusType: 3
13:11:22.161    Disk 0 MBR read successfully
13:11:22.161    Disk 0 MBR scan
13:11:22.176    Disk 0 Windows VISTA default MBR code
13:11:22.192    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS         1024 MB offset 2048
13:11:22.223    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       189756 MB offset 2099200
13:11:22.239    Disk 0 scanning sectors +390719488
13:11:22.348    Disk 0 scanning C:\Windows\system32\drivers
13:11:43.252    Service scanning
13:12:29.178    Modules scanning
13:12:36.557    Disk 0 trace - called modules:
13:12:36.604    ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys 
13:12:37.119    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85642968]
13:12:37.134    3 CLASSPNP.SYS[8a1a98b3] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-4[0x84182b98]
13:12:38.585    AVAST engine scan C:\Windows
13:12:43.686    AVAST engine scan C:\Windows\system32
13:21:03.557    AVAST engine scan C:\Windows\system32\drivers
13:21:40.591    AVAST engine scan C:\Users\Nicola
13:25:48.476    Disk 0 MBR has been saved successfully to "C:\Users\Nicola\Documents\MBR.dat"
13:25:48.508    The log file has been saved successfully to "C:\Users\Nicola\Documents\aswMBR.txt"
         
3.) TDSSDKiller:

"No threads found", daher kein Logfile?!


Ich hätte noch ein paar Fragen an dich:
- Soll ich Passwörter ändern?
- Soll ich „Anti- Malware“ nochmal scannen lassen und wirklich ALLES gefundene löschen? Das letzte mal waren ja mehr Funde, aber nur 11 angekreuzt.
- Ich hab mal gehört, man kann ein System auch auf ein bestimmtes Datum (wo noch kein Virus drauf war) zurücksetzen? Was hältst du davon?

Grüße
__________________

Alt 22.11.2012, 15:45   #4
ryder
/// TB-Ausbilder
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Wenn wir das System zurücksetzen ... wer sagt dir dass es zu dem Zeitpunkt sauber war?
Passwörter kannst du am Schluss dann ändern.

Dann bitte Combofix laufen lassen.

Scan mit Combofix
Zitat:
WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 22.11.2012, 18:03   #5
Nicola123
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Hallo,
mein Kumpel hat gerade angerufen und mir gesagt, dass er nach Anwendung des Combofix nicht mehr in Internet kann und dass die meisten Anwendungen sich nicht mehr öffnen lassen.
Es öffnet sich beim Anklicken das folgende Fenster:
Es wurde versucht einen Registrierungsschlüssel einem unzuläßigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
Was kann/soll er machen, da er den Computer nicht mehr bedienen kann?
Vielen Dank


Alt 22.11.2012, 18:05   #6
ryder
/// TB-Ausbilder
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Wofür haben wir denn die Anleitung? Genau DAS steht da!
__________________
--> WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +

Alt 22.11.2012, 19:16   #7
Nicola123
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Peinlich, SORRY! Das Fenster hatte sich zu dem Zeitpunkt schon geschlossen...

- Alles klar, danke. Das stimmt allerdings.;-)

Hier nun Combofix.txt:
Code:
ATTFilter
ComboFix 12-11-22.03 - Nicola 22.11.2012  18:43:56.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3062.2012 [GMT 1:00]
ausgeführt von:: c:\users\Nicola\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-10-22 bis 2012-11-22  ))))))))))))))))))))))))))))))
.
.
2012-11-22 17:57 . 2012-11-22 17:57	--------	d-----w-	c:\users\Nicola\AppData\Local\temp
2012-11-22 17:57 . 2012-11-22 17:57	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-11-21 20:44 . 2012-11-21 20:44	--------	d-----w-	c:\users\Nicola\AppData\Roaming\Malwarebytes
2012-11-21 20:43 . 2012-11-21 20:43	--------	d-----w-	c:\programdata\Malwarebytes
2012-11-21 20:43 . 2012-09-29 18:54	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-11-21 20:43 . 2012-11-21 20:43	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-11-20 13:21 . 2012-11-08 18:00	6812136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{2DE59B5F-9A9A-4E23-83B1-0A0DE7785162}\mpengine.dll
2012-11-18 17:05 . 2012-11-18 17:05	--------	d-----w-	c:\users\Nicola\AppData\Local\SCE
2012-11-18 17:05 . 2012-11-18 17:05	--------	d-----w-	C:\Crash
2012-11-18 17:05 . 2012-11-18 17:05	--------	d-----w-	c:\users\Public\Sony Online Entertainment
2012-11-16 00:32 . 2012-09-25 16:19	75776	----a-w-	c:\windows\system32\synceng.dll
2012-11-16 00:31 . 2012-10-12 14:29	2047488	----a-w-	c:\windows\system32\win32k.sys
2012-11-14 01:26 . 2012-11-22 16:03	--------	d-----w-	c:\users\Nicola\AppData\Roaming\convert
2012-11-14 01:26 . 2012-11-14 01:26	--------	d-----w-	c:\users\Nicola\AppData\Roaming\loadtbs
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-13 13:28 . 2012-10-10 11:12	2048	----a-w-	c:\windows\system32\tzres.dll
2012-08-29 11:27 . 2012-10-10 11:12	3602816	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-08-29 11:27 . 2012-10-10 11:12	3550080	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-08-25 11:50 . 2012-09-22 09:11	916992	----a-w-	c:\windows\system32\wininet.dll
2012-08-25 11:44 . 2012-09-22 09:10	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-08-25 11:44 . 2012-09-22 09:10	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-08-25 11:44 . 2012-09-22 09:10	71680	----a-w-	c:\windows\system32\iesetup.dll
2012-08-25 11:44 . 2012-09-22 09:10	109056	----a-w-	c:\windows\system32\iesysprep.dll
2012-08-25 10:11 . 2012-09-22 09:10	385024	----a-w-	c:\windows\system32\html.iec
2012-08-25 08:31 . 2012-09-22 09:10	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2012-08-25 08:29 . 2012-09-22 09:10	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2012-10-26 21:02 . 2012-10-26 21:01	261600	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\tbMyAs.dll" [2010-11-29 3908192]
.
[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54	175912	----a-w-	c:\program files\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
2010-11-29 14:26	3908192	----a-w-	c:\program files\MyAshampoo\tbMyAs.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\tbMyAs.dll" [2010-11-29 3908192]
"{DFEFCDEE-CF1A-4FC8-88AD-129872198372}"= "c:\users\Nicola\AppData\Roaming\loadtbs\toolbar.dll" [2012-11-14 616448]
.
[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
.
[HKEY_CLASSES_ROOT\clsid\{dfefcdee-cf1a-4fc8-88ad-129872198372}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}"= "c:\program files\MyAshampoo\tbMyAs.dll" [2010-11-29 3908192]
"{DFEFCDEE-CF1A-4FC8-88AD-129872198372}"= "c:\users\Nicola\AppData\Roaming\loadtbs\toolbar.dll" [2012-11-14 616448]
.
[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
.
[HKEY_CLASSES_ROOT\clsid\{dfefcdee-cf1a-4fc8-88ad-129872198372}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"Driver Updater"="c:\program files\Carambis\Driver Updater\dupdater.exe" [2009-10-01 4805632]
"mount.exe"="c:\program files\GiPo@Utilities\FileUtilities.3\mount.exe" [2008-04-11 374272]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LG Intelligent Update"="c:\program files\lg_swupdate\giljabistart.exe" [2008-02-25 247088]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-11-13 198160]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\ssmmgr.exe" [2009-08-15 614400]
"BlackBerryAutoUpdate"="c:\program files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe" [2009-05-12 623888]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-04-13 47392]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2010-10-13 111928]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
c:\users\Nicola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R0 7b4b0995d5abdc26;syshost.exe;c:\windows\\SystemRoot\System32\Drivers\7b4b0995d5abdc26.sys [x]
S0 45083592;45083592 Boot Guard Driver;c:\windows\system32\DRIVERS\45083592.sys [x]
S1 45083591;45083591;c:\windows\system32\DRIVERS\45083591.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2012-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-14 14:18]
.
2012-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-14 14:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://alice.aol.de
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\users\Nicola\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - foxsearch
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: browser.search.selectedEngine - foxsearch
FF - user.js: browser.search.order.1 - foxsearch
FF - user.js: browser.search.defaultenginename - foxsearch
FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
FF - user.js: extensions.BabylonToolbar.autoRvrt - false
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar.tlbrSrchUrl - hxxp://search.babylon.com/?babsrc=TB_def&mntrId=845c57070000000000000017c424acfa&q=
FF - user.js: extensions.BabylonToolbar.id - 845c57070000000000000017c424acfa
FF - user.js: extensions.BabylonToolbar.appId - {BDB69379-802F-4eaf-B541-F8DE92DD98DB}
FF - user.js: extensions.BabylonToolbar.instlDay - 15612
FF - user.js: extensions.BabylonToolbar.vrsn - 1.6.9.12
FF - user.js: extensions.BabylonToolbar.vrsni - 1.6.9.12
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.6.9.1221:26
FF - user.js: extensions.BabylonToolbar.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar.instlRef - sst
FF - user.js: extensions.BabylonToolbar.dfltLng - en
FF - user.js: extensions.BabylonToolbar.excTlbr - false
FF - user.js: extensions.BabylonToolbar.admin - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=110823&tt=270912_ctrl2_3912_8
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-11-22 18:57
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:00000042
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2012-11-22  19:02:05
ComboFix-quarantined-files.txt  2012-11-22 18:02
ComboFix2.txt  2012-11-22 16:09
.
Vor Suchlauf: 14 Verzeichnis(se), 24.466.350.080 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 24.442.085.376 Bytes frei
.
- - End Of File - - 5C4FED05D688E91320C98BE7681EA1FC
         


Grüße

Alt 22.11.2012, 20:32   #8
ryder
/// TB-Ausbilder
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Äh da gefällt mir was ja gar nicht. Dazu brauche ich mehr Infos:

Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2:
Laufwerksemulationen abschalten mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:
  • Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
  • Defogger wird dich fragen "Defogger will forcefully ... Continue?" bestätige dies mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Poste bitte die defogger_disable.txt von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.
Schritt 3:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
Schritt 4:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe
  • Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
  • Drücke Start Scan
  • Warnung:
    Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
    Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.
Schritt 5:
Customscan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
  • Stelle folgendes ein:
    • Haken bei "Alle Benutzer scannen" und "Inklusive 64bit Scans"
    • Ausgabe: Minimal
    • Benutze SafeList in jedem Feld.
    • Haken bei "Benutze Hersteller-Whitelist"
    • Dateien erstellt und verändert innerhalb Datei-Alter
    • Haken bei LOP Prüfung und Purity Prüfung
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:
ATTFilter
activex
netsvcs
msconfig
drivers32
safebootminimal
safebootnetwork
%SYSTEMDRIVE%\*.
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES(X86)%\*.*
%appdata%\*. 
%appdata%\*.* 
%localappdata%\*. 
%localappdata%\*.*
%allusersprofile%\*. 
%allusersprofile%\*.*
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread (möglichst in CODE-Tags)

__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 23.11.2012, 00:02   #9
Nicola123
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Oje. Was sieht denn so übel aus? Ist der PC stark "verunreinigt"?

1.)

Code:
ATTFilter
# AdwCleaner v2.008 - Datei am 22/11/2012 um 21:56:14 erstellt
# Aktualisiert am 17/11/2012 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : Nicola - NICOLAS-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Nicola\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelöscht : C:\user.js
Datei Gelöscht : C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\BrowserMngr_extensions.sqlite
Datei Gelöscht : C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\browsermngr_prefs.js
Datei Gelöscht : C:\Windows\system32\conduitEngine.tmp
Gelöscht mit Neustart : C:\Program Files\SweetIM
Ordner Gelöscht : C:\Program Files\Conduit
Ordner Gelöscht : C:\Program Files\ConduitEngine
Ordner Gelöscht : C:\Program Files\DAEMON Tools Toolbar
Ordner Gelöscht : C:\Program Files\MyAshampoo
Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\ProgramData\SweetIM
Ordner Gelöscht : C:\Users\Nicola\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\Nicola\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Ordner Gelöscht : C:\Users\Nicola\AppData\Local\Wajam
Ordner Gelöscht : C:\Users\Nicola\AppData\LocalLow\BabylonToolbar
Ordner Gelöscht : C:\Users\Nicola\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Nicola\AppData\LocalLow\ConduitEngine
Ordner Gelöscht : C:\Users\Nicola\AppData\LocalLow\MyAshampoo
Ordner Gelöscht : C:\Users\Nicola\AppData\LocalLow\PriceGong
Ordner Gelöscht : C:\Users\Nicola\AppData\Roaming\Babylon
Ordner Gelöscht : C:\Users\Nicola\AppData\Roaming\loadtbs
Ordner Gelöscht : C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\Conduit
Ordner Gelöscht : C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\ConduitEngine
Ordner Gelöscht : C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\CT2431245
Ordner Gelöscht : C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}(33)
Ordner Gelöscht : C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\SweetIMToolbarData

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\conduitEngine
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\MyAshampoo
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Toolbar
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Toolbar
Schlüssel Gelöscht : HKCU\Software\DataMngr_Toolbar
Schlüssel Gelöscht : HKCU\Software\Headlight
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4FC7-90CC-5EA0ABBE9EB8}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MyAshampoo Toolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35D-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Toolbar
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\Software\BrowserMngr
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{BDC18ADE-CBB8-4709-BFD2-31723D840958}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-129872198372}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2431245
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2475029
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\conduitEngine
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39BBCE91-9E97-4A0E-81DF-9B2DE6CEB390}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D27AC017-00BF-4CEB-8665-A3FD45916AC4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{BDC18ADE-CBB8-4709-BFD2-31723D840958}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Conduit Engine 
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyAshampoo Toolbar
Schlüssel Gelöscht : HKLM\Software\MyAshampoo
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Main [BrowserMngr Start Page]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [BrowserMngrDefaultScope]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{DFEFCDEE-CF1A-4FC8-88AD-129872198372}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{DFEFCDEE-CF1A-4FC8-88AD-129872198372}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SweetIM]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.19328

Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?affID=110823&tt=270912_ctrl2_3912_8&babsrc=NT_ss&mntrId=845c57070000000000000017c424acfa --> hxxp://www.google.com

-\\ Mozilla Firefox v16.0.2 (de)

Profilname : default 
Datei : C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\prefs.js

C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\user.js ... Gelöscht !

Gelöscht : user_pref("CT2431245.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2431245.CTID", "CT2431245");
Gelöscht : user_pref("CT2431245.CurrentServerDate", "13-4-2010");
Gelöscht : user_pref("CT2431245.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2431245.EMailNotifierPollDate", "Mon Apr 12 2010 23:18:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedLastCount129009402595187825", 1034);
Gelöscht : user_pref("CT2431245.FeedPollDate7470634014180506963", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634014269327586", "Mon Apr 12 2010 23:08:52 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634014329599698", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634014537505092", "Mon Apr 12 2010 23:08:52 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634014970726540", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634015410831318", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634015483395460", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634015636754705", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634015768347545", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634015855543602", "Mon Apr 12 2010 23:08:52 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634016030710453", "Mon Apr 12 2010 23:08:52 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634016114705611", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634016129205152", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634016143724791", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634016271239162", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634016568520719", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634016726993788", "Mon Apr 12 2010 23:08:52 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634017109031809", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634017132743740", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634017299547668", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634017302327846", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634017344111490", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634017478360748", "Mon Apr 12 2010 23:08:55 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634017732797593", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634017821686064", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedPollDate7470634018090228721", "Mon Apr 12 2010 23:08:54 GMT+0200");
Gelöscht : user_pref("CT2431245.FeedTTL7470634014269327586", 5);
Gelöscht : user_pref("CT2431245.FeedTTL7470634014537505092", 5);
Gelöscht : user_pref("CT2431245.FeedTTL7470634015636754705", 5);
Gelöscht : user_pref("CT2431245.FeedTTL7470634016568520719", 30);
Gelöscht : user_pref("CT2431245.FirstServerDate", "1-4-2010");
Gelöscht : user_pref("CT2431245.FirstTime", true);
Gelöscht : user_pref("CT2431245.FirstTimeFF3", true);
Gelöscht : user_pref("CT2431245.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2431245.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2431245.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2431245.Initialize", true);
Gelöscht : user_pref("CT2431245.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2431245.InstalledDate", "Thu Apr 01 2010 00:33:30 GMT+0200");
Gelöscht : user_pref("CT2431245.InvalidateCache", false);
Gelöscht : user_pref("CT2431245.IsGrouping", false);
Gelöscht : user_pref("CT2431245.IsMulticommunity", false);
Gelöscht : user_pref("CT2431245.IsOpenThankYouPage", false);
Gelöscht : user_pref("CT2431245.IsOpenUninstallPage", true);
Gelöscht : user_pref("CT2431245.LanguagePackLastCheckTime", "Sun Apr 11 2010 23:19:39 GMT+0200");
Gelöscht : user_pref("CT2431245.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2431245.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2431245.LastLogin_2.5.8.6", "Mon Apr 12 2010 23:08:52 GMT+0200");
Gelöscht : user_pref("CT2431245.LatestVersion", "2.1.0.18");
Gelöscht : user_pref("CT2431245.Locale", "de-de");
Gelöscht : user_pref("CT2431245.LoginCache", 4);
Gelöscht : user_pref("CT2431245.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2431245.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2431245.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2431245.RadioIsPodcast", false);
Gelöscht : user_pref("CT2431245.RadioLastCheckTime", "Mon Apr 12 2010 23:08:52 GMT+0200");
Gelöscht : user_pref("CT2431245.RadioLastUpdateIPServer", "3");
Gelöscht : user_pref("CT2431245.RadioLastUpdateServer", "3");
Gelöscht : user_pref("CT2431245.RadioMediaID", "9962");
Gelöscht : user_pref("CT2431245.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT2431245.RadioMenuSelectedID", "EBRadioMenu_CT24312459962");
Gelöscht : user_pref("CT2431245.RadioStationName", "California%20Rock");
Gelöscht : user_pref("CT2431245.RadioStationURL", "hxxp://feedlive.net/california.asx");
Gelöscht : user_pref("CT2431245.SHRINK_TOOLBAR", 1);
Gelöscht : user_pref("CT2431245.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...]
Gelöscht : user_pref("CT2431245.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2431245.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT243[...]
Gelöscht : user_pref("CT2431245.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2431245.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2431245.SearchInNewTabLastCheckTime", "Mon Apr 12 2010 23:08:51 GMT+0200");
Gelöscht : user_pref("CT2431245.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2431245.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Gelöscht : user_pref("CT2431245.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2431245.SettingsLastCheckTime", "Mon Apr 12 2010 23:08:51 GMT+0200");
Gelöscht : user_pref("CT2431245.SettingsLastUpdate", "1265977679");
Gelöscht : user_pref("CT2431245.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2431245.ThirdPartyComponentsLastCheck", "Thu Apr 01 2010 00:33:29 GMT+0200");
Gelöscht : user_pref("CT2431245.ThirdPartyComponentsLastUpdate", "1265977679");
Gelöscht : user_pref("CT2431245.TrusteLinkUrl", "hxxp://www.truste.org/pvr.php?page=validate&softwareProgramId=[...]
Gelöscht : user_pref("CT2431245.UserID", "UN76404075909615653");
Gelöscht : user_pref("CT2431245.ValidationData_Toolbar", 2);
Gelöscht : user_pref("CT2431245.WeatherNetwork", "");
Gelöscht : user_pref("CT2431245.WeatherPollDate", "Mon Apr 12 2010 23:08:53 GMT+0200");
Gelöscht : user_pref("CT2431245.WeatherUnit", "C");
Gelöscht : user_pref("CT2431245.alertChannelId", "825452");
Gelöscht : user_pref("CT2431245.clientLogIsEnabled", false);
Gelöscht : user_pref("CT2431245.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Gelöscht : user_pref("CT2431245.myStuffEnabled", true);
Gelöscht : user_pref("CT2431245.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2431245.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2431245.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2431245.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2431245.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Gelöscht : user_pref("CT2475029..clientLogIsEnabled", true);
Gelöscht : user_pref("CT2475029..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Gelöscht : user_pref("CT2475029..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Gelöscht : user_pref("CT2475029.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2475029.CT2481020.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CT2481024.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CT2481025.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CT2481029.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CT2481031.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CT2481032.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CT2481033.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CT2481034.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CT2481035.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CT2481037.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CTID", "ct2481020");
Gelöscht : user_pref("CT2475029.CommunitiesChangesLastCheckTime", "Sat Sep 24 2011 19:49:17 GMT+0200");
Gelöscht : user_pref("CT2475029.CommunityChanged", true);
Gelöscht : user_pref("CT2475029.CurrentServerDate", "24-9-2011");
Gelöscht : user_pref("CT2475029.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2475029.DialogsGetterLastCheckTime", "Tue Sep 06 2011 14:47:47 GMT+0200");
Gelöscht : user_pref("CT2475029.DownloadDomainsCheckInterval", "168");
Gelöscht : user_pref("CT2475029.DownloadDomainsListLastCheckTime", "Wed Sep 21 2011 22:23:18 GMT+0200");
Gelöscht : user_pref("CT2475029.DownloadDomainsListLastServerUpdateTime", "1201069983");
Gelöscht : user_pref("CT2475029.DownloadReferralCookieData", "");
Gelöscht : user_pref("CT2475029.FeedPollDate129076849370150342", "Sat Sep 24 2011 19:49:18 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076850042182211", "Sat Sep 24 2011 19:49:18 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076850596400916", "Sat Sep 24 2011 19:49:18 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076850791868756", "Sat Sep 24 2011 19:49:18 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076852434375419", "Sat Sep 24 2011 19:49:18 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076853083906444", "Sat Sep 24 2011 19:49:18 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076854010937606", "Sat Sep 24 2011 19:49:18 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076855068438037", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076855340312884", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076855597344292", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076855883906472", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076856408281730", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076856723281882", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076856982969262", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076857229219583", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076857478587121", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129076858014837073", "Sat Sep 24 2011 19:49:19 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129132307482029379", "Tue Sep 06 2011 21:16:06 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129132307482029381", "Tue Sep 06 2011 21:16:06 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129132307482029382", "Tue Sep 06 2011 21:16:06 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129133095459686870", "Tue Sep 06 2011 21:16:06 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129133095459686871", "Tue Sep 06 2011 21:16:06 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129137437659687146", "Tue Sep 06 2011 21:16:06 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129137437659687147", "Tue Sep 06 2011 21:16:06 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedPollDate129137437659687148", "Tue Sep 06 2011 21:16:06 GMT+0200");
Gelöscht : user_pref("CT2475029.FeedTTL129076850596400916", 5);
Gelöscht : user_pref("CT2475029.FeedTTL129076850791868756", 5);
Gelöscht : user_pref("CT2475029.FeedTTL129076855068438037", 2);
Gelöscht : user_pref("CT2475029.FeedTTL129076856408281730", 30);
Gelöscht : user_pref("CT2475029.FeedTTL129076856723281882", 5);
Gelöscht : user_pref("CT2475029.FeedTTL129076857229219583", 30);
Gelöscht : user_pref("CT2475029.FeedTTL129076858014837073", 2);
Gelöscht : user_pref("CT2475029.FeedTTL129132307482029379", 40);
Gelöscht : user_pref("CT2475029.FeedTTL129132307482029381", 40);
Gelöscht : user_pref("CT2475029.FeedTTL129132307482029382", 40);
Gelöscht : user_pref("CT2475029.FeedTTL129133095459686870", 40);
Gelöscht : user_pref("CT2475029.FeedTTL129133095459686871", 40);
Gelöscht : user_pref("CT2475029.FeedTTL129137437659687146", 40);
Gelöscht : user_pref("CT2475029.FeedTTL129137437659687147", 40);
Gelöscht : user_pref("CT2475029.FeedTTL129137437659687148", 40);
Gelöscht : user_pref("CT2475029.FirstServerDate", "6-9-2011");
Gelöscht : user_pref("CT2475029.FirstTime", true);
Gelöscht : user_pref("CT2475029.FirstTimeFF3", true);
Gelöscht : user_pref("CT2475029.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2475029.GroupingLastCheckTime", "Sat Sep 24 2011 11:12:13 GMT+0200");
Gelöscht : user_pref("CT2475029.GroupingLastErrorCode", "");
Gelöscht : user_pref("CT2475029.GroupingLastResponse", true);
Gelöscht : user_pref("CT2475029.GroupingLastServerUpdateTime", "129597250320000000");
Gelöscht : user_pref("CT2475029.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2475029.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2475029.HasUserGlobalKeys", true);
Gelöscht : user_pref("CT2475029.Initialize", true);
Gelöscht : user_pref("CT2475029.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2475029.InstallationAndCookieDataSentCount", 3);
Gelöscht : user_pref("CT2475029.InstallationId", "MyAshampoo.exe");
Gelöscht : user_pref("CT2475029.InstallationType", "ConduitIntegration");
Gelöscht : user_pref("CT2475029.InstalledDate", "Tue Sep 06 2011 14:47:47 GMT+0200");
Gelöscht : user_pref("CT2475029.IsGrouping", true);
Gelöscht : user_pref("CT2475029.IsMulticommunity", true);
Gelöscht : user_pref("CT2475029.IsOpenThankYouPage", false);
Gelöscht : user_pref("CT2475029.IsOpenUninstallPage", true);
Gelöscht : user_pref("CT2475029.LanguagePackLastCheckTime", "Tue Sep 06 2011 14:47:51 GMT+0200");
Gelöscht : user_pref("CT2475029.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2475029.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2475029.LastLogin_3.3.3.2", "Sat Sep 24 2011 16:36:52 GMT+0200");
Gelöscht : user_pref("CT2475029.LatestVersion", "3.6.0.10");
Gelöscht : user_pref("CT2475029.Locale", "en");
Gelöscht : user_pref("CT2475029.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2475029.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2475029.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2475029.RadioIsPodcast", false);
Gelöscht : user_pref("CT2475029.RadioMediaID", "9962");
Gelöscht : user_pref("CT2475029.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT2475029.RadioMenuSelectedID", "EBRadioMenu_CT24750299962");
Gelöscht : user_pref("CT2475029.RadioStationName", "California%20Rock");
Gelöscht : user_pref("CT2475029.RadioStationURL", "hxxp://feedlive.net/california.asx");
Gelöscht : user_pref("CT2475029.SavedHomepage", "www.google.de");
Gelöscht : user_pref("CT2475029.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2475029.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT247[...]
Gelöscht : user_pref("CT2475029.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2475029.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2475029.SearchInNewTabLastCheckTime", "Tue Sep 06 2011 14:47:47 GMT+0200");
Gelöscht : user_pref("CT2475029.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2475029.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Gelöscht : user_pref("CT2475029.ServiceMapLastCheckTime", "Sat Sep 24 2011 11:12:16 GMT+0200");
Gelöscht : user_pref("CT2475029.SettingsLastCheckTime", "Tue Sep 06 2011 14:47:45 GMT+0200");
Gelöscht : user_pref("CT2475029.SettingsLastUpdate", "1315240632");
Gelöscht : user_pref("CT2475029.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2475029.ThirdPartyComponentsLastCheck", "Tue Sep 06 2011 14:47:44 GMT+0200");
Gelöscht : user_pref("CT2475029.ThirdPartyComponentsLastUpdate", "1312887586");
Gelöscht : user_pref("CT2475029.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2475029");
Gelöscht : user_pref("CT2475029.UserID", "UN60025357513281136");
Gelöscht : user_pref("CT2475029.ValidationData_Toolbar", 1);
Gelöscht : user_pref("CT2475029.backendstorage.10432", "31333136363332353231343430");
Gelöscht : user_pref("CT2475029.backendstorage.11902", "31333136363038363338303838");
Gelöscht : user_pref("CT2475029.backendstorage.active", "796573");
Gelöscht : user_pref("CT2475029.backendstorage.ctid", "637432343831303230");
Gelöscht : user_pref("CT2475029.backendstorage.eule_tb_id", "46393137343936313331303035393837544731303939323836[...]
Gelöscht : user_pref("CT2475029.backendstorage.firstinstall", "796573");
Gelöscht : user_pref("CT2475029.backendstorage.gsdomain", "");
Gelöscht : user_pref("CT2475029.backendstorage.lastrun", "31333136383535353737383438");
Gelöscht : user_pref("CT2475029.backendstorage.partner_id", "3937346665643236");
Gelöscht : user_pref("CT2475029.backendstorage.shopupdate", "323031312D30392D3230");
Gelöscht : user_pref("CT2475029.backendstorage.shopversionv2", "32");
Gelöscht : user_pref("CT2475029.backendstorage.short", "30");
Gelöscht : user_pref("CT2475029.backendstorage.tbready", "74727565");
Gelöscht : user_pref("CT2475029.ct2481020.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2475029.ct2481020.FeedLastCount129076858299680990", 826);
Gelöscht : user_pref("CT2475029.ct2481020.GroupingInvalidateCache", false);
Gelöscht : user_pref("CT2475029.ct2481020.GroupingLastCheckTime", "Sat Sep 24 2011 11:12:13 GMT+0200");
Gelöscht : user_pref("CT2475029.ct2481020.GroupingLastErrorCode", "");
Gelöscht : user_pref("CT2475029.ct2481020.GroupingLastResponse", true);
Gelöscht : user_pref("CT2475029.ct2481020.GroupingLastServerUpdateTime", "129597250320000000");
Gelöscht : user_pref("CT2475029.ct2481020.InvalidateCache", false);
Gelöscht : user_pref("CT2475029.ct2481020.LanguagePackLastCheckTime", "Fri Sep 23 2011 22:36:21 GMT+0200");
Gelöscht : user_pref("CT2475029.ct2481020.Locale", "de");
Gelöscht : user_pref("CT2475029.ct2481020.RadioLastCheckTime", "Sat Sep 24 2011 16:40:23 GMT+0200");
Gelöscht : user_pref("CT2475029.ct2481020.RadioLastUpdateIPServer", "3");
Gelöscht : user_pref("CT2475029.ct2481020.RadioLastUpdateServer", "3");
Gelöscht : user_pref("CT2475029.ct2481020.SearchInNewTabLastCheckTime", "Sat Sep 24 2011 11:12:16 GMT+0200");
Gelöscht : user_pref("CT2475029.ct2481020.SettingsLastCheckTime", "Sat Sep 24 2011 19:49:17 GMT+0200");
Gelöscht : user_pref("CT2475029.ct2481020.SettingsLastUpdate", "1314704664");
Gelöscht : user_pref("CT2475029.ct2481020.ThirdPartyComponentsLastCheck", "Tue Sep 06 2011 14:47:47 GMT+0200");
Gelöscht : user_pref("CT2475029.ct2481020.ThirdPartyComponentsLastUpdate", "1255344657");
Gelöscht : user_pref("CT2475029.ct2481020.globalFirstTimeInfoLastCheckTime", "Sat Sep 24 2011 16:36:52 GMT+0200[...]
Gelöscht : user_pref("CT2475029.ct2481020.toolbarAppMetaDataLastCheckTime", "Sat Sep 24 2011 11:12:17 GMT+0200"[...]
Gelöscht : user_pref("CT2475029.ct2481020.toolbarContextMenuLastCheckTime", "Tue Sep 06 2011 14:47:53 GMT+0200"[...]
Gelöscht : user_pref("CT2475029.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...]
Gelöscht : user_pref("CT2475029.globalFirstTimeInfoLastCheckTime", "Tue Sep 06 2011 14:47:46 GMT+0200");
Gelöscht : user_pref("CT2475029.isAppTrackingManagerOn", true);
Gelöscht : user_pref("CT2475029.myStuffEnabled", true);
Gelöscht : user_pref("CT2475029.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2475029.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2475029.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2475029.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2475029.testingCtid", "");
Gelöscht : user_pref("CT2475029.toolbarAppMetaDataLastCheckTime", "Tue Sep 06 2011 14:47:46 GMT+0200");
Gelöscht : user_pref("CT2475029.toolbarContextMenuLastCheckTime", "Tue Sep 06 2011 14:47:51 GMT+0200");
Gelöscht : user_pref("CT2475029.usagesFlag", 2);
Gelöscht : user_pref("CommunityToolbar.CantToolbarBeEngineOwner", "CT2475029");
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/868510/864310/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874426/870225/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874430/870228/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874431/870229/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874435/870233/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874437/870235/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874438/870236/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874439/870237/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874440/870238/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874441/870239/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/874443/870241/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2475029", [...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=ct2481020", [...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.2.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/toolbar/", "\"63451512245700[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=3/13/20[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT2475029&octid=[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=ct2481020&octid=[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/equaliz[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/minimiz[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/play.gi[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/stop.gi[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/vol.gif[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=EB_LOCALE",[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=de", "\"634[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/1344951.xml", "\"ba723ad101f71b12fdf8[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/16887175.xml", "\"dd31ada3bcb70efdb54[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/17151925.xml", "\"7cf4f7839f0785e90f1[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/20536157.xml", "\"9e3d62480a2235b55ac[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/30261067.xml", "\"93276bbdce58065406a[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/34655603.xml", "\"29d2243a8ea779660ee[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/759251.xml", "\"f8207c34e5beac3d282e9[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/816653.xml", "\"738e9ef8b8ce8b869f66c[...]
Gelöscht : user_pref("CommunityToolbar.EngineHiddenByUser", true);
Gelöscht : user_pref("CommunityToolbar.EngineOwner", "ConduitEngine");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine");
Gelöscht : user_pref("CommunityToolbar.IsEngineShown", false);
Gelöscht : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwner", "ConduitEngine");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "engine@conduit.com");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "conduitengine");
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2431245,ConduitEngine,CT2475029");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2431245,CT2475029");
Gelöscht : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Sat Mar 03 2012 15:09:04 GMT+01[...]
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoInterval", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sat Mar 24 2012 14:25:43 GMT+0100");
Gelöscht : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.firstTimeAlertShown", true);
Gelöscht : user_pref("CommunityToolbar.alert.locale", "en");
Gelöscht : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Sat Mar 24 2012 14:25:33 GMT+0100");
Gelöscht : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1313487611");
Gelöscht : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.alert.userId", "901067fc-f684-4439-b172-17fcf8a122e7");
Gelöscht : user_pref("CommunityToolbar.globalUserId", "3ec9204a-8dc3-4ace-916c-46d6f2b7daa2");
Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2475029");
Gelöscht : user_pref("CommunityToolbar.twitter.user_1344951.LastCheckTime", "Tue Sep 06 2011 19:57:06 GMT+0200"[...]
Gelöscht : user_pref("CommunityToolbar.twitter.user_16887175.LastCheckTime", "Tue Sep 06 2011 19:57:06 GMT+0200[...]
Gelöscht : user_pref("CommunityToolbar.twitter.user_17151925.LastCheckTime", "Tue Sep 06 2011 19:57:06 GMT+0200[...]
Gelöscht : user_pref("CommunityToolbar.twitter.user_20536157.LastCheckTime", "Tue Sep 06 2011 19:57:06 GMT+0200[...]
Gelöscht : user_pref("CommunityToolbar.twitter.user_30261067.LastCheckTime", "Tue Sep 06 2011 19:57:06 GMT+0200[...]
Gelöscht : user_pref("CommunityToolbar.twitter.user_34655603.LastCheckTime", "Tue Sep 06 2011 19:57:06 GMT+0200[...]
Gelöscht : user_pref("CommunityToolbar.twitter.user_759251.LastCheckTime", "Tue Sep 06 2011 19:57:06 GMT+0200")[...]
Gelöscht : user_pref("CommunityToolbar.twitter.user_816653.LastCheckTime", "Tue Sep 06 2011 19:57:06 GMT+0200")[...]
Gelöscht : user_pref("ConduitEngine.AppTrackingLastCheckTime", "Sun Mar 18 2012 21:24:07 GMT+0100");
Gelöscht : user_pref("ConduitEngine.CTID", "ConduitEngine");
Gelöscht : user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Wed Sep 21 2011 23:32:34 GMT+0200");
Gelöscht : user_pref("ConduitEngine.FirstServerDate", "03/26/2011 17");
Gelöscht : user_pref("ConduitEngine.FirstTime", true);
Gelöscht : user_pref("ConduitEngine.FirstTimeFF3", true);
Gelöscht : user_pref("ConduitEngine.HasUserGlobalKeys", true);
Gelöscht : user_pref("ConduitEngine.Initialize", true);
Gelöscht : user_pref("ConduitEngine.InitializeCommonPrefs", true);
Gelöscht : user_pref("ConduitEngine.InstalledDate", "Sat Mar 26 2011 15:49:24 GMT+0100");
Gelöscht : user_pref("ConduitEngine.IsMulticommunity", false);
Gelöscht : user_pref("ConduitEngine.IsOpenThankYouPage", false);
Gelöscht : user_pref("ConduitEngine.IsOpenUninstallPage", true);
Gelöscht : user_pref("ConduitEngine.LanguagePackLastCheckTime", "Sat Sep 24 2011 11:12:17 GMT+0200");
Gelöscht : user_pref("ConduitEngine.LastLogin_3.3.3.2", "Sat Sep 24 2011 17:16:17 GMT+0200");
Gelöscht : user_pref("ConduitEngine.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("ConduitEngine.SettingsLastCheckTime", "Sat Sep 24 2011 17:16:17 GMT+0200");
Gelöscht : user_pref("ConduitEngine.UserID", "UN89237079167042029");
Gelöscht : user_pref("ConduitEngine.componentAlertEnabled", false);
Gelöscht : user_pref("ConduitEngine.engineLocale", "de");
Gelöscht : user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Sat Sep 24 2011 11:12:17 GMT+0200");
Gelöscht : user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Sat Sep 24 2011 16:36:53 GMT+0200");
Gelöscht : user_pref("ConduitEngine.initDone", true);
Gelöscht : user_pref("ConduitEngine.isAppTrackingManagerOn", true);
Gelöscht : user_pref("ConduitEngine.usagesFlag", 2);
Gelöscht : user_pref("browser.search.defaultthis.engineName", "MyAshampoo Customized Web Search");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&Sea[...]
Gelöscht : user_pref("extensions.BabylonToolbar.admin", false);
Gelöscht : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Gelöscht : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
Gelöscht : user_pref("extensions.BabylonToolbar.autoRvrt", "false");
Gelöscht : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Gelöscht : user_pref("extensions.BabylonToolbar.excTlbr", false);
Gelöscht : user_pref("extensions.BabylonToolbar.id", "845c57070000000000000017c424acfa");
Gelöscht : user_pref("extensions.BabylonToolbar.instlDay", "15612");
Gelöscht : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Gelöscht : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Gelöscht : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Gelöscht : user_pref("extensions.BabylonToolbar.tlbrId", "tb9");
Gelöscht : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]
Gelöscht : user_pref("extensions.BabylonToolbar.vrsn", "1.6.9.12");
Gelöscht : user_pref("extensions.BabylonToolbar.vrsni", "1.6.9.12");
Gelöscht : user_pref("extensions.BabylonToolbar_i.babExt", "");
Gelöscht : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110823&tt=270912_ctrl2_3912_8");
Gelöscht : user_pref("extensions.BabylonToolbar_i.newTab", false);
Gelöscht : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Gelöscht : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.6.9.1221:26:29");
Gelöscht : user_pref("keyword.URL", "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=");
Gelöscht : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Gelöscht : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Gelöscht : user_pref("sweetim.toolbar.mode.debug", "false");
Gelöscht : user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://www.finduny.com?client=mozilla-firefox&cd=[...]
Gelöscht : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]
Gelöscht : user_pref("sweetim.toolbar.search.history.capacity", "10");
Gelöscht : user_pref("sweetim.toolbar.searchguard.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.simapp_id", "{4171F610-D7CD-11E0-98F5-F3048F5E4C95}");
Gelöscht : user_pref("sweetim.toolbar.version", "1.4.0.0");

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : C:\Users\Nicola\AppData\Local\Google\Chrome\User Data\Default\Preferences

Gelöscht [l.8] : homepage = "hxxp://search.babylon.com/?affID=110823&tt=270912_ctrl2_3912_8&babsrc=HP_ss&mntrI[...]
Gelöscht [l.12] : urls_to_restore_on_startup = [ "hxxp://search.babylon.com/?affID=110823&tt=270912_ctrl2_39[...]
Gelöscht [l.247] : homepage = "hxxp://search.babylon.com/?affID=110823&tt=270912_ctrl2_3912_8&babsrc=HP_ss&mntrId=8[...]
Gelöscht [l.499] : urls_to_restore_on_startup = [ "hxxp://search.babylon.com/?affID=110823&tt=270912_ctrl2_3912_[...]

*************************

AdwCleaner[S1].txt - [46462 octets] - [22/11/2012 21:56:14]

########## EOF - C:\AdwCleaner[S1].txt - [46523 octets] ##########
         
2.)

Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:22 on 22/11/2012 (Nicola)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=-
         

3.)

Code:
ATTFilter
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-22 22:26:11
-----------------------------
22:26:11.951    OS Version: Windows 6.0.6002 Service Pack 2
22:26:11.951    Number of processors: 2 586 0xF0D
22:26:11.967    ComputerName: NICOLAS-PC  UserName: Nicola
22:26:54.601    Initialize success
22:26:54.866    write error "aswEngin.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
22:28:13.515    AVAST engine defs: 12112201
22:28:28.897    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4
22:28:28.912    Disk 0 Vendor: FUJITSU_MHY2200BH 0000000B Size: 190782MB BusType: 3
22:28:28.959    Disk 0 MBR read successfully
22:28:28.975    Disk 0 MBR scan
22:28:29.022    Disk 0 Windows VISTA default MBR code
22:28:29.053    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS         1024 MB offset 2048
22:28:29.084    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       189756 MB offset 2099200
22:28:29.115    Disk 0 scanning sectors +390719488
22:28:29.209    Disk 0 scanning C:\Windows\system32\drivers
22:28:50.534    Service scanning
22:29:36.866    Modules scanning
22:29:44.775    Disk 0 trace - called modules:
22:29:44.822    ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys 
22:29:44.838    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85112ac8]
22:29:44.853    3 CLASSPNP.SYS[8a1a08b3] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-4[0x845818a0]
22:29:46.226    AVAST engine scan C:\Windows
22:29:51.436    AVAST engine scan C:\Windows\system32
22:37:46.753    AVAST engine scan C:\Windows\system32\drivers
22:38:21.416    AVAST engine scan C:\Users\Nicola
22:59:31.899    AVAST engine scan C:\ProgramData
23:01:37.046    Scan finished successfully
23:06:56.508    Disk 0 MBR has been saved successfully to "C:\Users\Nicola\Desktop\MBR.dat"
23:06:56.526    The log file has been saved successfully to "C:\Users\Nicola\Desktop\aswMBR.txt"
         
4.)

"No threats found"

5.) folgt

Alt 23.11.2012, 00:03   #10
Nicola123
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



5.)

Code:
ATTFilter
OTL logfile created on: 22.11.2012 23:18:07 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Nicola\Desktop\Neuer Ordner
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19328)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 1,66 Gb Available Physical Memory | 55,53% Memory free
6,20 Gb Paging File | 4,81 Gb Available in Paging File | 77,49% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 185,31 Gb Total Space | 22,13 Gb Free Space | 11,94% Space Free | Partition Type: NTFS
 
Computer Name: NICOLAS-PC | User Name: Nicola | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: On | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Nicola\Desktop\Neuer Ordner\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Windows\Samsung\PanelMgr\SSMMgr.exe ()
PRC - C:\Programme\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe (Research In Motion Limited)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conime.exe (Microsoft Corporation)
PRC - C:\Programme\lg_swupdate\GiljabiStart.exe (BIT LEADER)
PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Windows\WindowsMobile\wmdSync.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualBas#\d1cdb687ca296d0e95ff3abe946cb3c7\Microsoft.VisualBasic.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Management\d08cb6b1c4052e6f5a4e2452870d67d7\System.Management.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\2633dbf77be293b3a8693b6b062fd787\System.Runtime.Remoting.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\7f15d0cb7e4f87f86e425d5ffe7e8280\System.Configuration.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\Accessibility\79f3661da2402c72b0bba0de1e55f4d1\Accessibility.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\741164a3e36f879b9f9e3ff176465127\System.Xml.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\22e554f2c4da53c07e4815a24e2d50e2\System.Windows.Forms.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\2c6cd37f29fc76d6c2ed6bbed202d82c\System.Drawing.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System\b2052acbbbba4f98585196872195e009\System.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\7ad9c44df3b85848590e63f13fc59804\mscorlib.ni.dll ()
MOD - C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
MOD - C:\Windows\Samsung\PanelMgr\SSMMgr.exe ()
MOD - C:\Windows\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\System.Windows.Forms.resources\2.0.0.0_de_b77a5c561934e089\System.Windows.Forms.resources.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\System.resources\2.0.0.0_de_b77a5c561934e089\System.resources.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll ()
MOD - C:\Programme\lg_swupdate\AxInterop.InetCtlsObjects.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
SRV - (getPlusHelper) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (WcesComm) -- C:\Windows\WindowsMobile\wcescomm.dll (Microsoft Corporation)
SRV - (RapiMgr) -- C:\Windows\WindowsMobile\rapimgr.dll (Microsoft Corporation)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (Microsoft Office Groove Audit Service) -- C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe (Microsoft Corporation)
SRV - (odserv) -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\system32\drivers\blbdrive.sys File not found
DRV - (aswMBR) -- C:\Users\Nicola\AppData\Local\Temp\aswMBR.sys File not found
DRV - (7b4b0995d5abdc26) -- C:\Windows\System32\Drivers\7b4b0995d5abdc26.sys File not found
DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (dtsoftbus01) -- C:\Windows\System32\drivers\dtsoftbus01.sys (DT Soft Ltd)
DRV - (sptd) -- C:\Windows\System32\drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (StarOpen) -- C:\Windows\System32\drivers\StarOpen.sys ()
DRV - (45083592) -- C:\Windows\System32\drivers\45083592.sys (Kaspersky Lab)
DRV - (DEcleaner1drv) -- C:\Windows\System32\drivers\4508359.sys (Kaspersky Lab)
DRV - (45083591) -- C:\Windows\System32\drivers\45083591.sys (Kaspersky Lab)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (DgiVecp) -- C:\Windows\System32\drivers\DGIVECP.SYS (Samsung Electronics Co., Ltd.)
DRV - (AF15BDA) -- C:\Windows\System32\drivers\AF15BDA.sys (ITETech                  )
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (UsbserFilt) -- C:\Windows\System32\drivers\usbser_lowerfltj.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (nmwcdc) -- C:\Windows\System32\drivers\ccdcmbo.sys (Nokia)
DRV - (upperdev) -- C:\Windows\System32\drivers\usbser_lowerflt.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (nmwcd) -- C:\Windows\System32\drivers\ccdcmb.sys (Nokia)
DRV - (SSPORT) -- C:\Windows\System32\drivers\SSPORT.SYS (Samsung Electronics)
DRV - (PDNMp50) -- C:\Windows\System32\drivers\PDNMp50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (PDNSp50) -- C:\Windows\System32\drivers\PDNSp50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (AgereSoftModem) -- C:\Windows\System32\drivers\AGRSM.sys (Agere Systems)
DRV - (R300) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (NETw3v32) -- C:\Windows\System32\drivers\NETw3v32.sys (Intel® Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://alice.aol.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://alice.aol.de
IE - HKLM\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\tbMyAs.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\tbMyAs.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - No CLSID value found
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\SearchScopes,BrowserMngrDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/?q={searchTerms}&affID=110823&tt=270912_ctrl2_3912_8&babsrc=SP_ss&mntrId=845c57070000000000000017c424acfa
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7RNTN_de
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = hxxp://www.daemon-search.com/search/web?q={searchTerms}
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "foxsearch"
FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "foxsearch"
FF - prefs.js..browser.search.selectedEngine: "foxsearch"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "about:home"
FF - prefs.js..extensions.enabledAddons: amznUWL2@amazon.com:1.10
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1
FF - prefs.js..extensions.enabledItems: 6
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: 49
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.1.0.2
FF - prefs.js..extensions.enabledItems: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4}:3.8.0.8
FF - prefs.js..extensions.enabledItems: amznUWL2@amazon.com:1.7
FF - prefs.js..keyword.URL: "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
 
FF - user.js..browser.search.selectedEngine: "foxsearch"
FF - user.js..browser.search.order.1: "foxsearch"
FF - user.js..browser.search.defaultenginename: "foxsearch"
FF - user.js..keyword.URL: "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.448: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.10.26 22:02:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.10.26 22:01:59 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.10.26 22:02:08 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.10.26 22:01:59 | 000,000,000 | ---D | M]
 
[2010.04.04 09:12:34 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Nicola\AppData\Roaming\mozilla\Extensions
[2010.04.04 09:12:34 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Nicola\AppData\Roaming\mozilla\Extensions\mozswing@mozswing.org
[2012.11.22 21:56:25 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Nicola\AppData\Roaming\mozilla\Firefox\Profiles\tlsyua0g.default\extensions
[2012.09.19 11:52:53 | 000,243,287 | ---- | M] () (No name found) -- C:\Users\Nicola\AppData\Roaming\mozilla\firefox\profiles\tlsyua0g.default\extensions\amznUWL2@amazon.com.xpi
[2010.03.21 19:30:01 | 000,002,111 | ---- | M] () -- C:\Users\Nicola\AppData\Roaming\mozilla\firefox\profiles\tlsyua0g.default\searchplugins\googlede.xml
[2012.10.26 22:01:54 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.10.26 22:02:08 | 000,261,600 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011.08.06 14:39:22 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2012.11.14 02:25:59 | 000,378,880 | ---- | M] (InfiniAd GmbH) -- C:\Program Files\mozilla firefox\plugins\npmieze.dll
[2012.03.24 14:26:27 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.08.30 09:19:49 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.03.24 14:26:27 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010.09.27 20:19:58 | 000,000,143 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\foxsearch.src
[2012.03.24 14:26:27 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.24 14:26:27 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.24 14:26:27 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.com/
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.com/
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\22.0.1229.79\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\22.0.1229.79\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\22.0.1229.79\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Java Deployment Toolkit 6.0.260.3 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U26 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Microsoft\u00AE Windows Media Player Firefox Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
CHR - plugin: DivX Player Netscape Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll
CHR - plugin: Gutscheinmieze-Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npmieze.dll
CHR - plugin: 2007 Microsoft Office system (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPOFF12.DLL
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll
CHR - plugin: getPlusPlus for Adobe 16249 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\np_gp.dll
CHR - plugin: DivX Web Player (Enabled) = C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll
CHR - plugin: RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit)  (Enabled) = C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
CHR - plugin: RealPlayer Version Plugin (Enabled) = C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
CHR - plugin: RealJukebox NS Plugin (Enabled) = C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
CHR - plugin: iTunes Application Detector (Enabled) = C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
CHR - plugin: Shockwave for Director (Enabled) = C:\Windows\system32\Adobe\Director\np32dsw.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: YouTube = C:\Users\Nicola\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: YouTube = C:\Users\Nicola\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2_0\
CHR - Extension: Google-Suche = C:\Users\Nicola\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.14_0\
CHR - Extension: Google-Suche = C:\Users\Nicola\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: Google Mail = C:\Users\Nicola\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\tbMyAs.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKLM\..\Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\tbMyAs.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (loadtbs) - {DFEFCDEE-CF1A-4FC8-88AD-129872198372} - C:\Users\Nicola\AppData\Roaming\loadtbs\toolbar.dll (InfiniAd GmbH)
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\Toolbar\WebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:\Programme\MyAshampoo\tbMyAs.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2069562770-894574349-3162454710-1000\..\Toolbar\WebBrowser: (loadtbs) - {DFEFCDEE-CF1A-4FC8-88AD-129872198372} - C:\Users\Nicola\AppData\Roaming\loadtbs\toolbar.dll (InfiniAd GmbH)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BlackBerryAutoUpdate] C:\Program Files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe (Research In Motion Limited)
O4 - HKLM..\Run: [LG Intelligent Update] C:\Program Files\lg_swupdate\giljabistart.exe (BIT LEADER)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\ssmmgr.exe ()
O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Windows Mobile-based device management] C:\Windows\WindowsMobile\wmdSync.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-2069562770-894574349-3162454710-1000..\Run: [Driver Updater] C:\Program Files\Carambis\Driver Updater\dupdater.exe (Media Fog Ltd.)
O4 - HKU\S-1-5-21-2069562770-894574349-3162454710-1000..\Run: [mount.exe] C:\Program Files\GiPo@Utilities\FileUtilities.3\mount.exe (Gibin Software House (hxxp://www.gibinsoft.net))
O4 - Startup: C:\Users\Nicola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Nicola\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{22008E79-9CF3-41F2-A33C-1BB9BDD443B8}: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Nicola\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Nicola\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{9f1f154a-752a-11df-8f12-001e68716d0e}\Shell - "" = AutoRun
O33 - MountPoints2\{9f1f154a-752a-11df-8f12-001e68716d0e}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - 
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - 
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
 
Drivers32: msacm.divxa32 - C:\Windows\System32\DivXa32.acm (Kristal StudioDFileDescription)
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.l3codec - C:\Windows\System32\l3codecp.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.lameacm - C:\Windows\System32\lameACM.acm (Open Source)
Drivers32: msacm.vorbis - C:\Windows\System32\vorbis.acm (HMS hxxp://hp.vector.co.jp/authors/VA012897/)
Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIV3 - C:\Windows\System32\DivXc32.dll (Hacked with Joy !)
Drivers32: vidc.DIV4 - C:\Windows\System32\DivXc32f.dll (Hacked with Joy !)
Drivers32: vidc.DIVF - C:\Windows\System32\DivX412.dll (DivXNetworks, Inc.)
Drivers32: vidc.DIVX - C:\Windows\System32\DivX.dll (DivXNetworks, Inc.)
Drivers32: VIDC.HFYU - C:\Windows\System32\huffyuv.dll (Disappearing Inc.)
Drivers32: vidc.XVID - C:\Windows\System32\xvid.dll ()
Drivers32: vidc.yv12 - C:\Windows\System32\DivX.dll (DivXNetworks, Inc.)
 
SafeBootMin: AppMgmt - Service
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: NTDS -  File not found
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
SafeBootNet: AppMgmt - Service
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: Messenger - Service
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: NTDS -  File not found
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootNet: WudfPf - Driver
SafeBootNet: WudfUsbccidDriver - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.11.22 23:09:55 | 002,213,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Nicola\Desktop\tdsskiller(2).exe
[2012.11.22 22:25:33 | 004,732,416 | ---- | C] (AVAST Software) -- C:\Users\Nicola\Desktop\aswMBR.exe
[2012.11.22 19:02:09 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012.11.22 19:02:08 | 000,000,000 | ---D | C] -- C:\Users\Nicola\AppData\Local\temp(9)
[2012.11.22 18:40:56 | 000,000,000 | ---D | C] -- C:\ComboFix
[2012.11.22 16:44:58 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.11.22 13:38:45 | 002,213,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Nicola\Desktop\tdsskiller(1).exe
[2012.11.22 13:27:37 | 002,213,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Nicola\Desktop\tdsskiller.exe
[2012.11.22 13:04:26 | 000,000,000 | ---D | C] -- C:\Users\Nicola\Desktop\Heute
[2012.11.22 00:46:42 | 000,000,000 | ---D | C] -- C:\Users\Nicola\Desktop\Neuer Ordner
[2012.11.21 21:44:16 | 000,000,000 | ---D | C] -- C:\Users\Nicola\AppData\Roaming\Malwarebytes
[2012.11.21 21:43:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.11.21 21:43:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.11.21 21:43:28 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.11.21 21:43:27 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.11.21 21:42:21 | 010,669,952 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\Nicola\Desktop\mbam-setup-1.65.1.1000.exe
[2012.11.20 17:15:09 | 000,000,000 | ---D | C] -- C:\Users\Nicola\Desktop\Russo
[2012.11.18 18:05:35 | 000,000,000 | ---D | C] -- C:\Users\Nicola\AppData\Local\SCE
[2012.11.18 18:05:35 | 000,000,000 | ---D | C] -- C:\Crash
[2012.11.16 01:32:25 | 000,075,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\synceng.dll
[2012.11.16 01:31:35 | 002,047,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012.11.14 02:26:09 | 000,000,000 | ---D | C] -- C:\Users\Nicola\AppData\Roaming\convert
[2012.11.14 02:26:02 | 000,000,000 | ---D | C] -- C:\Users\Nicola\AppData\Roaming\loadtbs
[2012.10.26 22:01:53 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefox
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.11.22 23:18:11 | 003,670,016 | -HS- | M] () -- C:\Users\Nicola\ntuser.dat
[2012.11.22 23:10:05 | 002,213,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\Nicola\Desktop\tdsskiller(2).exe
[2012.11.22 23:06:56 | 000,000,512 | ---- | M] () -- C:\Users\Nicola\Desktop\MBR.dat
[2012.11.22 22:42:04 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.11.22 22:25:57 | 004,732,416 | ---- | M] (AVAST Software) -- C:\Users\Nicola\Desktop\aswMBR.exe
[2012.11.22 22:15:45 | 000,050,477 | ---- | M] () -- C:\Users\Nicola\Desktop\Defogger.exe
[2012.11.22 22:07:04 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.11.22 22:06:52 | 000,003,168 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.11.22 22:06:52 | 000,003,168 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.11.22 22:06:22 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2012.11.22 22:06:21 | 000,524,288 | -HS- | M] () -- C:\Users\Nicola\ntuser.dat{6689eda7-34e8-11e2-8daf-b4c9d6c7c5e4}.TMContainer00000000000000000002.regtrans-ms
[2012.11.22 22:06:21 | 000,524,288 | -HS- | M] () -- C:\Users\Nicola\ntuser.dat{6689eda7-34e8-11e2-8daf-b4c9d6c7c5e4}.TMContainer00000000000000000001.regtrans-ms
[2012.11.22 22:06:21 | 000,065,536 | -HS- | M] () -- C:\Users\Nicola\ntuser.dat{6689eda7-34e8-11e2-8daf-b4c9d6c7c5e4}.TM.blf
[2012.11.22 22:06:14 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.11.22 22:06:11 | 3211,190,272 | -HS- | M] () -- C:\hiberfil.sys
[2012.11.22 21:57:22 | 000,524,288 | -HS- | M] () -- C:\Users\Nicola\ntuser.dat{8db6f756-5c1a-11e1-ba3e-d43c00a2fb76}.TMContainer00000000000000000001.regtrans-ms
[2012.11.22 21:57:22 | 000,065,536 | -HS- | M] () -- C:\Users\Nicola\ntuser.dat{8db6f756-5c1a-11e1-ba3e-d43c00a2fb76}.TM.blf
[2012.11.22 21:57:21 | 006,291,456 | -H-- | M] () -- C:\Users\Nicola\AppData\Local\IconCache.db
[2012.11.22 13:38:57 | 002,213,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\Nicola\Desktop\tdsskiller(1).exe
[2012.11.22 13:29:00 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2012.11.22 13:27:46 | 002,213,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\Nicola\Desktop\tdsskiller.exe
[2012.11.22 13:25:48 | 000,000,512 | ---- | M] () -- C:\Users\Nicola\Documents\MBR.dat
[2012.11.21 22:23:46 | 000,000,176 | ---- | M] () -- C:\Users\Nicola\defogger_reenable
[2012.11.21 21:42:45 | 010,669,952 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\Nicola\Desktop\mbam-setup-1.65.1.1000.exe
[2012.11.21 01:49:03 | 000,177,152 | ---- | M] () -- C:\Users\Nicola\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.11.20 17:15:59 | 001,445,140 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2012.11.20 17:15:59 | 000,628,942 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.11.20 17:15:59 | 000,596,196 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.11.20 17:15:59 | 000,126,460 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.11.20 17:15:59 | 000,104,270 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.11.16 12:40:23 | 000,394,816 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.11.08 23:10:35 | 000,514,986 | ---- | M] () -- C:\Users\Nicola\Desktop\Ariel.pdf
[2012.11.06 23:46:51 | 000,002,631 | ---- | M] () -- C:\Users\Nicola\Desktop\Microsoft Word 2007.lnk
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.11.22 23:06:56 | 000,000,512 | ---- | C] () -- C:\Users\Nicola\Desktop\MBR.dat
[2012.11.22 22:15:44 | 000,050,477 | ---- | C] () -- C:\Users\Nicola\Desktop\Defogger.exe
[2012.11.22 22:06:21 | 000,524,288 | -HS- | C] () -- C:\Users\Nicola\ntuser.dat{6689eda7-34e8-11e2-8daf-b4c9d6c7c5e4}.TMContainer00000000000000000002.regtrans-ms
[2012.11.22 22:06:21 | 000,524,288 | -HS- | C] () -- C:\Users\Nicola\ntuser.dat{6689eda7-34e8-11e2-8daf-b4c9d6c7c5e4}.TMContainer00000000000000000001.regtrans-ms
[2012.11.22 22:06:21 | 000,065,536 | -HS- | C] () -- C:\Users\Nicola\ntuser.dat{6689eda7-34e8-11e2-8daf-b4c9d6c7c5e4}.TM.blf
[2012.11.22 13:25:48 | 000,000,512 | ---- | C] () -- C:\Users\Nicola\Documents\MBR.dat
[2012.11.21 22:23:09 | 000,000,176 | ---- | C] () -- C:\Users\Nicola\defogger_reenable
[2012.11.08 23:10:31 | 000,514,986 | ---- | C] () -- C:\Users\Nicola\Desktop\Ariel.pdf
[2012.02.21 00:31:31 | 000,524,288 | -HS- | C] () -- C:\Users\Nicola\ntuser.dat{8db6f756-5c1a-11e1-ba3e-d43c00a2fb76}.TMContainer00000000000000000002.regtrans-ms
[2012.02.21 00:31:31 | 000,524,288 | -HS- | C] () -- C:\Users\Nicola\ntuser.dat{8db6f756-5c1a-11e1-ba3e-d43c00a2fb76}.TMContainer00000000000000000001.regtrans-ms
[2012.02.21 00:31:31 | 000,065,536 | -HS- | C] () -- C:\Users\Nicola\ntuser.dat{8db6f756-5c1a-11e1-ba3e-d43c00a2fb76}.TM.blf
[2010.11.30 15:04:09 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2010.11.29 17:53:36 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2010.11.29 17:53:36 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2010.11.29 17:53:11 | 000,368,640 | ---- | C] () -- C:\Windows\System32\msjetoledb40.dll
[2010.06.15 05:36:26 | 006,291,456 | -H-- | C] () -- C:\Users\Nicola\AppData\Local\IconCache.db
[2010.01.08 00:13:30 | 000,026,340 | ---- | C] () -- C:\Users\Nicola\AppData\Roaming\UserTile.png
[2009.11.16 23:10:44 | 000,004,940 | ---- | C] () -- C:\ProgramData\mtbjfghn.xbe
[2009.11.16 00:07:00 | 000,177,152 | ---- | C] () -- C:\Users\Nicola\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.11.14 23:56:28 | 000,000,552 | ---- | C] () -- C:\Users\Nicola\AppData\Local\d3d8caps.dat
[2009.11.13 20:29:08 | 000,107,176 | ---- | C] () -- C:\Users\Nicola\AppData\Local\GDIPFONTCACHEV1.DAT
[2009.11.13 20:28:57 | 000,000,380 | ---- | C] () -- C:\Users\Nicola\Documents.lnk
[2009.11.13 20:28:41 | 000,001,356 | ---- | C] () -- C:\Users\Nicola\AppData\Local\d3d9caps.dat
[2009.11.13 20:28:39 | 000,524,288 | -HS- | C] () -- C:\Users\Nicola\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms
[2009.11.13 20:28:39 | 000,524,288 | -HS- | C] () -- C:\Users\Nicola\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms
[2009.11.13 20:28:39 | 000,065,536 | -HS- | C] () -- C:\Users\Nicola\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf
[2009.11.13 20:28:39 | 000,000,020 | -HS- | C] () -- C:\Users\Nicola\ntuser.ini
[2009.11.13 20:28:38 | 003,670,016 | -HS- | C] () -- C:\Users\Nicola\ntuser.dat
 
========== ZeroAccess Check ==========
 
[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.09.06 12:47:41 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Ashampoo
[2010.08.05 08:03:05 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Canneverbe Limited
[2012.11.23 07:04:47 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\convert
[2010.01.16 22:07:35 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\DAEMON Tools Lite
[2011.12.16 14:49:38 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\DeepBurner
[2010.07.05 14:07:32 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\DVDVideoSoftIEHelpers
[2010.07.31 20:48:43 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\EurekaLog
[2010.12.26 13:00:13 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\GetRightToGo
[2011.09.24 13:12:41 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Gutscheinmieze
[2010.05.03 12:09:29 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\ImgBurn
[2012.11.23 07:04:48 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\loadtbs
[2009.11.15 13:39:53 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\OpenOffice.org
[2010.01.08 00:13:29 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\PeerNetworking
[2010.02.08 18:27:25 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Picture Converter
[2010.04.28 14:39:41 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Red Kawa
[2009.12.19 10:19:02 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Research In Motion
[2012.11.21 02:56:58 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\UseNeXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*. >
[2012.11.23 07:03:37 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin
[2011.06.01 15:32:43 | 000,000,000 | ---D | M] -- C:\Boot
[2012.11.22 19:02:12 | 000,000,000 | ---D | M] -- C:\ComboFix
[2012.11.18 18:05:35 | 000,000,000 | ---D | M] -- C:\Crash
[2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2009.11.13 20:26:42 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2009.11.16 17:37:31 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2010.01.25 20:49:12 | 000,000,000 | ---D | M] -- C:\Neuer Ordner
[2010.11.29 11:44:45 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2010.01.25 14:36:38 | 000,000,000 | ---D | M] -- C:\Phenomedia
[2010.01.25 14:35:11 | 000,000,000 | ---D | M] -- C:\Phenomedia AG
[2012.11.22 21:56:16 | 000,000,000 | R--D | M] -- C:\Program Files
[2012.11.21 21:43:33 | 000,000,000 | -H-D | M] -- C:\ProgramData
[2009.11.13 20:26:42 | 000,000,000 | -HSD | M] -- C:\Programme
[2012.11.22 19:02:11 | 000,000,000 | ---D | M] -- C:\Qoobox
[2010.01.25 18:44:22 | 000,000,000 | ---D | M] -- C:\SPLASH
[2012.11.22 23:23:48 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2009.11.17 17:58:01 | 000,000,000 | ---D | M] -- C:\Temp
[2009.11.13 20:28:38 | 000,000,000 | R--D | M] -- C:\Users
[2012.11.23 07:04:48 | 000,000,000 | ---D | M] -- C:\Windows
 
< %SYSTEMDRIVE%\*.* >
[2012.11.22 21:56:42 | 000,046,593 | ---- | M] () -- C:\AdwCleaner[S1].txt
[2006.09.18 22:43:36 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009.04.11 07:36:36 | 000,333,257 | RHS- | M] () -- C:\bootmgr
[2007.01.09 11:44:19 | 000,008,192 | R-S- | M] () -- C:\BOOTSECT.BAK
[2012.11.22 19:02:06 | 000,012,362 | ---- | M] () -- C:\ComboFix.txt
[2006.09.18 22:43:37 | 000,000,010 | ---- | M] () -- C:\config.sys
[2012.11.22 22:06:11 | 3211,190,272 | -HS- | M] () -- C:\hiberfil.sys
[2002.01.05 03:38:38 | 000,054,784 | ---- | M] (Microsoft Corporation) -- C:\msvci70.dll
[2012.11.22 22:06:07 | 3524,988,928 | -HS- | M] () -- C:\pagefile.sys
[2012.11.22 13:47:24 | 000,123,390 | ---- | M] () -- C:\TDSSKiller.2.8.15.0_22.11.2012_13.39.28_log.txt
[2012.11.22 23:13:16 | 000,123,390 | ---- | M] () -- C:\TDSSKiller.2.8.15.0_22.11.2012_23.10.17_log.txt
[2012.09.29 20:26:34 | 000,000,317 | ---- | M] () -- C:\user.js
 
< %PROGRAMFILES%\*.* >
[2010.11.29 11:59:06 | 000,000,174 | -HS- | M] () -- C:\Program Files\desktop.ini
Invalid Environment Variable: PROGRAMFILES(X86)
 
< %appdata%\*.  >
[2011.09.05 21:47:31 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Adobe
[2010.05.29 07:26:24 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Apple Computer
[2011.09.06 12:47:41 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Ashampoo
[2010.05.30 08:08:40 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Avira
[2010.08.05 08:03:05 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Canneverbe Limited
[2012.11.23 07:04:47 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\convert
[2010.01.16 22:07:35 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\DAEMON Tools Lite
[2011.12.16 14:49:38 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\DeepBurner
[2009.11.16 23:53:27 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\DivX
[2012.10.21 23:37:00 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\dvdcss
[2010.07.05 14:07:32 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\DVDVideoSoftIEHelpers
[2010.07.31 20:48:43 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\EurekaLog
[2010.12.26 13:00:13 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\GetRightToGo
[2009.11.13 21:39:35 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Google
[2011.09.24 13:12:41 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Gutscheinmieze
[2009.11.13 20:28:48 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Identities
[2010.05.03 12:09:29 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\ImgBurn
[2012.11.23 07:04:48 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\loadtbs
[2009.11.26 17:18:21 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Macromedia
[2012.11.21 21:44:16 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Malwarebytes
[2006.11.02 13:37:34 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Media Center Programs
[2012.05.18 20:05:25 | 000,000,000 | --SD | M] -- C:\Users\Nicola\AppData\Roaming\Microsoft
[2009.11.14 00:40:43 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Mozilla
[2009.11.15 13:39:53 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\OpenOffice.org
[2010.01.08 00:13:29 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\PeerNetworking
[2010.02.08 18:27:25 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Picture Converter
[2010.03.05 21:00:55 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Real
[2010.04.28 14:39:41 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Red Kawa
[2009.12.19 10:19:02 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\Research In Motion
[2012.11.21 02:56:58 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\UseNeXT
[2012.11.21 02:23:40 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\vlc
[2009.11.23 16:40:43 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Roaming\WinRAR
 
< %appdata%\*.*  >
[2009.12.19 10:39:37 | 000,000,762 | ---- | M] () -- C:\Users\Nicola\AppData\Roaming\BBMS_EXCEPTION.txt
[2010.01.08 00:13:30 | 000,026,340 | ---- | M] () -- C:\Users\Nicola\AppData\Roaming\UserTile.png
 
< %localappdata%\*.  >
[2011.09.05 21:43:06 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Adobe
[2009.11.13 20:28:39 | 000,000,000 | -HSD | M] -- C:\Users\Nicola\AppData\Local\Anwendungsdaten
[2009.11.13 21:47:38 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Apple
[2010.02.12 12:47:45 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Apple Computer
[2011.09.06 12:46:46 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\ashampoo
[2010.04.28 13:52:14 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Geckofx
[2011.09.24 13:03:53 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Google
[2011.10.05 00:51:22 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Microsoft
[2010.12.30 22:16:37 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Microsoft Games
[2011.01.11 19:50:40 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Microsoft Help
[2009.11.14 00:40:03 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Mozilla
[2009.11.20 20:48:55 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\PC_Drivers_Headquarters
[2010.12.02 14:57:52 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\PictureConverter
[2011.05.01 21:50:30 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\QuickPar
[2010.05.09 16:24:05 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\ratDVD
[2012.11.18 18:05:35 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\SCE
[2010.03.31 19:23:19 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\softonic-de3
[2012.11.22 23:18:07 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\Temp
[2012.11.22 21:56:39 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\temp(9)
[2009.11.13 20:28:39 | 000,000,000 | -HSD | M] -- C:\Users\Nicola\AppData\Local\Temporary Internet Files
[2009.11.13 20:28:39 | 000,000,000 | -HSD | M] -- C:\Users\Nicola\AppData\Local\Verlauf
[2009.11.22 01:03:01 | 000,000,000 | ---D | M] -- C:\Users\Nicola\AppData\Local\VirtualStore
 
< %localappdata%\*.* >
[2009.11.14 23:56:28 | 000,000,552 | ---- | M] () -- C:\Users\Nicola\AppData\Local\d3d8caps.dat
[2010.08.10 08:30:04 | 000,001,356 | ---- | M] () -- C:\Users\Nicola\AppData\Local\d3d9caps.dat
[2012.11.21 01:49:03 | 000,177,152 | ---- | M] () -- C:\Users\Nicola\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.25 08:16:55 | 000,107,176 | ---- | M] () -- C:\Users\Nicola\AppData\Local\GDIPFONTCACHEV1.DAT
[2012.11.22 21:57:21 | 006,291,456 | -H-- | M] () -- C:\Users\Nicola\AppData\Local\IconCache.db
 
< %allusersprofile%\*.  >
[2011.09.05 21:44:16 | 000,000,000 | ---D | M] -- C:\ProgramData\Adobe
[2009.11.13 20:26:42 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2009.11.13 21:45:50 | 000,000,000 | ---D | M] -- C:\ProgramData\Apple
[2009.11.13 21:49:17 | 000,000,000 | ---D | M] -- C:\ProgramData\Apple Computer
[2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2011.09.06 12:46:46 | 000,000,000 | ---D | M] -- C:\ProgramData\ashampoo
[2009.11.13 21:12:08 | 000,000,000 | ---D | M] -- C:\ProgramData\Avira
[2010.08.05 08:03:05 | 000,000,000 | ---D | M] -- C:\ProgramData\Canneverbe Limited
[2010.01.05 19:55:40 | 000,000,000 | ---D | M] -- C:\ProgramData\DAEMON Tools Lite
[2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2009.11.13 20:26:42 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2009.12.09 02:14:50 | 000,000,000 | ---D | M] -- C:\ProgramData\eXPert PDF 4
[2009.11.13 20:26:42 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2011.09.24 13:03:53 | 000,000,000 | ---D | M] -- C:\ProgramData\Google
[2009.11.26 17:05:21 | 000,000,000 | ---D | M] -- C:\ProgramData\Macromedia
[2012.11.21 21:43:33 | 000,000,000 | ---D | M] -- C:\ProgramData\Malwarebytes
[2011.09.05 21:41:05 | 000,000,000 | ---D | M] -- C:\ProgramData\McAfee
[2012.11.23 07:04:45 | 000,000,000 | ---D | M] -- C:\ProgramData\McAfee Security Scan
[2010.03.29 16:36:02 | 000,000,000 | --SD | M] -- C:\ProgramData\Microsoft
[2009.11.16 17:47:25 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft Help
[2012.05.03 11:46:40 | 000,000,000 | ---D | M] -- C:\ProgramData\Mozilla
[2009.12.20 16:22:11 | 000,000,000 | ---D | M] -- C:\ProgramData\Norton
[2009.11.26 19:59:05 | 000,000,000 | ---D | M] -- C:\ProgramData\NortonInstaller
[2009.11.26 16:57:19 | 000,000,000 | ---D | M] -- C:\ProgramData\NOS
[2009.11.20 20:49:00 | 000,000,000 | ---D | M] -- C:\ProgramData\PC Drivers HeadQuarters
[2010.03.05 21:01:01 | 000,000,000 | ---D | M] -- C:\ProgramData\Real
[2009.12.19 10:20:14 | 000,000,000 | ---D | M] -- C:\ProgramData\Research In Motion
[2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2009.11.13 20:26:42 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2010.04.03 23:27:57 | 000,000,000 | ---D | M] -- C:\ProgramData\Sun
[2012.11.23 07:03:38 | 000,000,000 | ---D | M] -- C:\ProgramData\SweetIM
[2009.11.27 18:02:26 | 000,000,000 | ---D | M] -- C:\ProgramData\Symantec
[2006.11.02 14:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2009.11.20 20:49:01 | 000,000,000 | ---D | M] -- C:\ProgramData\UAB
[2009.11.13 20:26:42 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2011.09.05 20:01:38 | 000,000,000 | ---D | M] -- C:\ProgramData\WindowsSearch
[2010.05.28 10:37:18 | 000,000,000 | ---D | M] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.11.13 21:49:48 | 000,000,000 | ---D | M] -- C:\ProgramData\{755AC846-7372-4AC8-8550-C52491DAA8BD}
 
< %allusersprofile%\*.* >
[2009.11.16 23:10:44 | 000,004,940 | ---- | M] () -- C:\ProgramData\mtbjfghn.xbe
 
<           >
[2006.11.02 14:01:49 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT
[2006.11.02 14:01:49 | 000,032,604 | ---- | C] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2010.02.14 15:19:11 | 000,001,094 | ---- | C] () -- C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
[2010.02.14 15:19:15 | 000,001,098 | ---- | C] () -- C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job

< End of report >
         

Code:
ATTFilter
OTL Extras logfile created on: 22.11.2012 23:18:07 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Nicola\Desktop\Neuer Ordner
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19328)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 1,66 Gb Available Physical Memory | 55,53% Memory free
6,20 Gb Paging File | 4,81 Gb Available in Paging File | 77,49% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 185,31 Gb Total Space | 22,13 Gb Free Space | 11,94% Space Free | Partition Type: NTFS
 
Computer Name: NICOLAS-PC | User Name: Nicola | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: On | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = ChromeHTML] -- C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
 
[HKEY_USERS\S-1-5-21-2069562770-894574349-3162454710-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
https [open] -- "C:\Program Files\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
jsfile [edit] -- "C:\Program Files\Macromedia\Dreamweaver 8\dreamweaver.exe" "%1" (Macromedia, Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\m\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\m\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0A97114A-BC5D-4765-8AF5-FF9736B1C9C9}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{0AB26016-A4F6-46C7-BD6E-4E4671A6675F}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office12\outlook.exe | 
"{27394D23-1CD3-489C-9920-AED098474E25}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{81A78E46-41A6-4C3B-B4B3-0A6291A0641C}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{89367271-BB2D-4EE9-B639-270A539EABE6}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{89939B12-B5E1-4726-9138-5BB300B7BF0B}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{BCD86DDC-F8ED-4A80-AC3E-7CAC4559A434}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{DC77BEC0-1F15-404B-B168-DAE816DADBB6}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{E3ACA58E-8949-4856-BE59-1B2AC635EF2D}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{10CE48C5-25B7-4D22-B284-7867ED04E33F}" = protocol=6 | dir=in | app=c:\windows\system32\supdsvc.exe | 
"{1F9F21C8-3862-4482-AE8C-C5DCD5D80247}" = protocol=17 | dir=in | app=c:\windows\system32\supdsvc.exe | 
"{23AD5392-79AF-4F6F-8CC5-ADDB9E79C3D8}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{2E6DBEFB-CE37-4F52-BA08-0380D3E619CE}" = protocol=6 | dir=in | app=c:\program files\itunes\itunes.exe | 
"{42A759C7-1169-4FA1-BDE3-2B23DF21A79B}" = dir=out | name=core networking - system ip core | 
"{599753AE-F135-4BCD-ABA8-DBDC7709FE0A}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"{8F63B036-2224-4B79-949C-137AFEB1AC3C}" = dir=in | name=core networking - system ip core | 
"{938B334F-9BD6-43A8-84D9-B051A3B2B09F}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{A3E10D8C-A879-4D91-A659-0911A20F8811}" = protocol=17 | dir=in | app=c:\program files\itunes\itunes.exe | 
"{C3F2A547-F63A-4001-BC85-554AC17AFFAA}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{D2E1FD2B-314C-426E-A4AD-0992473354B1}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"{F6A23CE5-2EF5-479D-8F94-82DA58139365}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"TCP Query User{387936D4-16CF-4110-9089-8E843A924E8F}C:\program files\counter-strike source\hl2.exe" = protocol=6 | dir=in | app=c:\program files\counter-strike source\hl2.exe | 
"TCP Query User{68795503-B4D9-4AD5-B91E-4918BCD9EFF5}C:\program files\limewire\limewire.exe" = protocol=6 | dir=in | app=c:\program files\limewire\limewire.exe | 
"TCP Query User{75A743C4-3EE6-45CE-8FC3-B4B77E860CFD}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
"TCP Query User{C224C6D2-780E-4090-8534-DFE22BFBCE13}C:\program files\ea games\battlefield 1942\bf1942.exe" = protocol=6 | dir=in | app=c:\program files\ea games\battlefield 1942\bf1942.exe | 
"TCP Query User{D9C678AD-2003-4C04-9D90-36A18F503279}C:\program files\ea games\battlefield 1942\bf1942_w32ded.exe" = protocol=6 | dir=in | app=c:\program files\ea games\battlefield 1942\bf1942_w32ded.exe | 
"TCP Query User{E2098786-298B-4EA9-B051-FF0985EE8044}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{F9BFE203-2A69-48EE-BFA6-E83C5AA01207}C:\users\nicola\desktop\spiele\vba link\visualboyadvance.exe" = protocol=6 | dir=in | app=c:\users\nicola\desktop\spiele\vba link\visualboyadvance.exe | 
"UDP Query User{137D3FAD-08D4-44C9-AE3F-A99F6223E656}C:\program files\limewire\limewire.exe" = protocol=17 | dir=in | app=c:\program files\limewire\limewire.exe | 
"UDP Query User{1CDDDFC4-368C-4C85-8FBE-00686D5FD666}C:\program files\ea games\battlefield 1942\bf1942_w32ded.exe" = protocol=17 | dir=in | app=c:\program files\ea games\battlefield 1942\bf1942_w32ded.exe | 
"UDP Query User{2498217A-1C04-47F6-968A-BD47FDB2D32F}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{76FD9220-6521-46B4-AB3F-7F477108FF32}C:\program files\ea games\battlefield 1942\bf1942.exe" = protocol=17 | dir=in | app=c:\program files\ea games\battlefield 1942\bf1942.exe | 
"UDP Query User{7B6A4709-7C32-419C-B8AB-DA528D056C45}C:\program files\counter-strike source\hl2.exe" = protocol=17 | dir=in | app=c:\program files\counter-strike source\hl2.exe | 
"UDP Query User{8FDA5CA2-7820-476A-9928-29E315C9C32B}C:\users\nicola\desktop\spiele\vba link\visualboyadvance.exe" = protocol=17 | dir=in | app=c:\users\nicola\desktop\spiele\vba link\visualboyadvance.exe | 
"UDP Query User{AF01DF97-1E78-4C51-BAED-5D110548B245}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{0F022A2E-7022-497D-90A5-0F46746D8275}" = Macromedia Extension Manager
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1632FD86-1BA4-4FC4-8B25-A8C655D63F68}" = Sid Meier's Pirates!
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1D301950-EA2F-4882-9AA0-49467756842A}" = SweetIM for Messenger 3.3
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java(TM) 6 Update 26
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{2BAA27B6-F39E-490B-8D41-84A32D234D70}" = GiPo@FileUtilities 3.2
"{2DFF2906-52BB-4222-8062-1509259FC013}" = GUN (TM)
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{44025BD7-AD10-4769-99AE-6378FD0303D6}" = Macromedia Dreamweaver 8
"{4640FDE1-B83A-4376-84ED-86F86BEE2D41}" = Driver Detective
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4C24A8C1-7CFA-4650-AF15-732F5BD7B46D}" = Macromedia Fireworks 8
"{56582EEA-3AEF-4D84-8B9D-C87A3CD9250F}" = GetDataBack for NTFS
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}" = Battlefield 1942
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7AB3A249-FB81-416B-917A-A2A10E74C503}" = iTunes
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{81717D01-32F6-449C-85E1-41AFD678E545}" = LG Intelligent Update
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{91120000-002E-0000-0000-0000000FF1CE}" = Microsoft Office Ultimate 2007
"{9559F7CA-5E34-4237-A2D9-D856464AD727}" = Project64 1.6
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A116D023-A3BC-4C70-A8B8-9FE77850F0D9}" = Moorhuhn Wanted XXL
"{A3365448-B694-468D-BBF0-D7A4CCDF955F}" = BlackBerry® Media Sync
"{A804B134-F03D-4EFD-9BC0-DCD257AA1B22}" = Hitman Blood Money
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{AFAC914D-9E83-4A89-8ABE-427521C82CCF}" = Safari
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{BA165460-FCF7-4D6C-A7A2-F2321700720F}" = MobileMe Control Panel
"{BC4AE628-81A4-4FC6-863A-7A9BA2E2531F}" = Nokia Connectivity Cable Driver
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0D3C193-7052-4DE4-8BF4-3954D2021FF2}" = Moorhuhn X - XXL
"{D777D80E-13AE-4E6C-BCB2-9AEE10D9DEF1}" = Driver Updater
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{EC1F15E1-F3CC-46EE-B7A5-849A08ED60DC}}_is1" = PantsOff 2.0
"{EF85141C-7980-4CB4-B19D-7680731135EC}" = BlackBerry Desktop Software 5.0
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Alice" = Alice-Installationsdateien entfernen
"Ashampoo Burning Studio 6 FREE_is1" = Ashampoo Burning Studio 6 FREE v.6.80
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AviSynth" = AviSynth 2.5
"BlackBerry_{EF85141C-7980-4CB4-B19D-7680731135EC}" = BlackBerry Desktop Software 5.0
"DAEMON Tools Lite" = DAEMON Tools Lite
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8
"Google Chrome" = Google Chrome
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ImgBurn" = ImgBurn
"InstallShield_{1632FD86-1BA4-4FC4-8B25-A8C655D63F68}" = Sid Meier's Pirates!
"InstallShield_{2DFF2906-52BB-4222-8062-1509259FC013}" = GUN (TM)
"loadtbs-3.0" = loadtbs-3.0
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 16.0.2 (x86 de)" = Mozilla Firefox 16.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MyAshampoo Toolbar" = MyAshampoo Toolbar
"MyVideoConverter" = MyVideoConverter 2.405
"NimoCorp" = Nimo Codecs Pack v5.0 (Remove Only)
"QuickPar" = QuickPar 0.9
"ratDVD" = ratDVD 0.78.1444
"RealPlayer 12.0" = RealPlayer
"Samsung ML-1640 Series" = Samsung ML-1640 Series
"ULTIMATER" = Microsoft Office Ultimate 2007
"Uninstall_is1" = Uninstall 1.0.0.1
"UseNeXT_is1" = UseNeXT
"VLC media player" = VLC media player 1.0.5
"Wii Video 9" = Wii Video 9 5.04
"WinRAR archiver" = WinRAR
"Xilisoft 3GP Video Converter" = Xilisoft 3GP Video Converter
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2069562770-894574349-3162454710-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 22.11.2012 17:10:03 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 22.11.2012 17:10:03 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 22.11.2012 17:10:04 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 22.11.2012 17:10:04 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 22.11.2012 17:10:05 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 22.11.2012 17:10:05 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 22.11.2012 17:10:07 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 22.11.2012 17:10:07 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 22.11.2012 17:10:08 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
Error - 22.11.2012 17:10:08 | Computer Name = Nicolas-PC | Source = Windows Search Service | ID = 3013
Description = 
 
[ OSession Events ]
Error - 08.10.2010 03:42:43 | Computer Name = Nicolas-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 42
 seconds with 0 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 22.11.2012 12:05:05 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7030
Description = 
 
Error - 22.11.2012 13:23:37 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 22.11.2012 13:23:37 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 22.11.2012 13:42:56 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7030
Description = 
 
Error - 22.11.2012 13:50:38 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7030
Description = 
 
Error - 22.11.2012 13:57:56 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7030
Description = 
 
Error - 22.11.2012 14:07:17 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 22.11.2012 14:07:17 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 22.11.2012 17:07:52 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 22.11.2012 17:07:52 | Computer Name = Nicolas-PC | Source = Service Control Manager | ID = 7000
Description = 
 
 
< End of report >
         

Alt 23.11.2012, 15:36   #11
ryder
/// TB-Ausbilder
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Das ist eine ziemlich komplexe Infektion, deswegen brauche ich hier noch ein paar Scans von dir. Aber zuerst entfernen wir noch etwas mehr Werbung:

Schritt 1:

Adware entfernen mit JRT

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.

Bitte lade Junkware Removal Tool auf Deinen Desktop.
  • Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Das Tool wird sich öffnen und mit dem Scan beginnen.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.
Schritt 2:
Deinstalliere McAfee Security Scan


Schritt 3:
Scan mit MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 23.11.2012, 19:08   #12
Nicola123
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Komplex? Das klingt aber gar nicht gut... Was wäre, wenn man das System bis dahin, wo die komplexe Infektion noch nicht war, wiederherstellt und man dann das (vorherige) System prüft und bereinigt? Was meinst du?



1)
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 3.4.8 (11.22.2012)
OS: Windows Vista (TM) Home Premium x86
Ran by Nicola on 23.11.2012 at 16:34:42,51
Blog: hxxp://thisisudax.blogspot.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\windows\currentversion\run\\SweetIM
Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\toolbar\\{98889811-442d-49dd-99d7-dc866be87dbc} 
Successfully deleted: [Registry Value] hkey_current_user\software\microsoft\internet explorer\toolbar\webbrowser\\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} 
Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\toolbar\\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} 
Successfully deleted: [Registry Value] hkey_current_user\software\microsoft\internet explorer\urlsearchhooks\\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} 
Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\urlsearchhooks\\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} 
Successfully deleted: [Registry Value] hkey_current_user\software\microsoft\internet explorer\toolbar\webbrowser\\{eee6c35b-6118-11dc-9c72-001320c79847} 
Successfully repaired: [Registry Value] hkey_current_user\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\.default\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-18\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-19\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-20\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\S-1-5-21-2069562770-894574349-3162454710-1000\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\abouturls\\Tabs



~~~ Registry Keys

Failed to delete: [Registry Key]"hkey_current_user\software\datamngr"
Failed to delete: [Registry Key]"hkey_current_user\software\datamngr_toolbar"
Failed to delete: [Registry Key]"hkey_local_machine\software\datamngr"
Successfully deleted: [Registry Key] hkey_current_user\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{2eecd738-5844-4a99-b4b6-146bf802613b}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{30f9b915-b755-4826-820b-08fba6bd249d}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}
Successfully deleted: [Registry Key] hkey_current_user\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [File] C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\browsermngr_prefs.js
Successfully deleted: [File] C:\Users\Nicola\AppData\Roaming\Mozilla\Firefox\Profiles\tlsyua0g.default\user.js
Successfully deleted: [File] C:\user.js
Successfully deleted: [Folder] C:\Users\Nicola\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}



~~~ Chrome

Successfully deleted: [Folder] C:\Users\Nicola\appdata\local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Successfully deleted: [Registry Key] hkey_local_machine\software\google\chrome\extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 23.11.2012 at 16:40:42,25
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         


3.)

1. Scan:

Code:
ATTFilter
Malwarebytes Anti-Rootkit 1.1.0.1009
www.malwarebytes.org

Database version: v2012.11.23.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19328
Nicola :: NICOLAS-PC [administrator]

23.11.2012 17:07:10
mbar-log-2012-11-23 (17-07-10).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: PUP | PUM | P2P
Objects scanned: 28554
Time elapsed: 18 minute(s), 43 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 2
HKCR\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-129872198372} (PUP.LoadTubes) -> Delete on reboot. [ea976d4c88d55bdbd116ee3a80804cb4]
HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot. [7c05fdbcb2ab53e3a4118b752cd43ac6]

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{DFEFCDEE-CF1A-4FC8-88AD-129872198372} (PUP.LoadTubes) -> Data: îÍïßÏÈOˆ*˜rƒr -> Delete on reboot. [ea976d4c88d55bdbd116ee3a80804cb4]
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{DFEFCDEE-CF1A-4FC8-88AD-129872198372} (PUP.LoadTubes) -> Data:  -> Delete on reboot. [ea976d4c88d55bdbd116ee3a80804cb4]

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 7
C:\Users\Nicola\AppData\Roaming\loadtbs\toolbar.dll (PUP.LoadTubes) -> Delete on reboot. [ea976d4c88d55bdbd116ee3a80804cb4]
C:\Users\Nicola\AppData\Roaming\loadtbs\ytdl.exe (PUP.LoadTubes) -> Delete on reboot. [2958d4e563faf5411e17e4e657a9a858]
C:\Users\Nicola\Documents\Downloads\pantsoff.exe (PUP.Pantsoff.PasswordFinder) -> Delete on reboot. [0c758c2d63fa40f66e0761fdb54f956b]
C:\Program Files\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Delete on reboot. [5b2644754d10ac8a81b4ecded8287888]
C:\Users\Nicola\AppData\Local\Temp\1a3d9b37655eeb2f9bea641ce230178f\data\npm.dll (PUP.LoadTubes) -> Delete on reboot. [463bdfda7ae3a78fd1643b8f7789eb15]
C:\Users\Nicola\AppData\Local\Temp\1a3d9b37655eeb2f9bea641ce230178f\data\tb.dll (PUP.LoadTubes) -> Delete on reboot. [364b11a8124b270fe007c2667a8622de]
C:\Users\Nicola\AppData\Local\Temp\1a3d9b37655eeb2f9bea641ce230178f\data\ytdl.exe (PUP.LoadTubes) -> Delete on reboot. [f48d9c1de37aed499a9b4981ff013ec2]

(end)
         

2. Scan:

Code:
ATTFilter
Malwarebytes Anti-Rootkit 1.1.0.1009
www.malwarebytes.org

Database version: v2012.11.23.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19328
Nicola :: NICOLAS-PC [administrator]

23.11.2012 18:52:05
mbar-log-2012-11-23 (18-52-05).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: PUP | PUM | P2P
Objects scanned: 28545
Time elapsed: 13 minute(s), 51 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Alt 23.11.2012, 19:24   #13
ryder
/// TB-Ausbilder
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Dafür sind wir jetzt zu weit und wer sagt, dass es zu dem Zeitpunkt einfacher gewesen wäre?

Aber das sieht jetzt gut aus.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

Zitat:
Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

  • Bitte hier klicken --->
    • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
    • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
  • drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange dauern!

Wenn der Scan beendet wurde
  • Klicke und dann
  • Speichere das Logfile als ESET.txt auf dem Desktop.
  • Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.
Schritt 3:
Scan mit SecurityCheck
Downloade Dir bitte SecurityCheck
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 24.11.2012, 00:14   #14
Nicola123
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Ok, alles klar.
Das klingt ja schonmal gut, da bin ich erleichtert! Ich danke dir nochmals für deine schnelle Hilfe und dein Engagement!

1.)

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.23.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19328
Nicola :: NICOLAS-PC [Administrator]

Schutz: Aktiviert

23.11.2012 19:38:52
mbam-log-2012-11-23 (19-38-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 200784
Laufzeit: 9 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
         
2.)

Code:
ATTFilter
C:\Qoobox\Quarantine\C\$Recycle.Bin\S-1-5-21-2069562770-894574349-3162454710-1000\$0562903115ccb3dfa3df26d8b3126788\U\80000000.@.vir	Win32/Sirefef.FA trojan
C:\Qoobox\Quarantine\C\$Recycle.Bin\S-1-5-21-2069562770-894574349-3162454710-1000\$0562903115ccb3dfa3df26d8b3126788\U\800000cb.@.vir	Win32/Sirefef.FL trojan
C:\Users\Nicola\AppData\Local\Temp\469C44DA-BAB0-7891-B9DD-C30C0F91AD39\Latest\BrowserManagerSetup.exe	probably a variant of Win32/bProtector.A application
C:\Users\Nicola\AppData\Local\Temp\469C44DA-BAB0-7891-B9DD-C30C0F91AD39\Latest\MyBabylonTB.exe	Win32/Toolbar.Babylon application
C:\Users\Nicola\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\339be37c-4e5b1247	a variant of Java/Exploit.CVE-2012-1723.DQ trojan
C:\Users\Nicola\Desktop\SoftonicDownloader_fuer_google-suchen-version-2.exe	a variant of Win32/SoftonicDownloader.E application
C:\Users\Nicola\Downloads\SoftonicDownloader21313.exe	a variant of Win32/SoftonicDownloader.A application
         
3.)

Code:
ATTFilter
Results of screen317's Security Check version 0.99.54  
 Windows Vista Service Pack 2 x86   
 Internet Explorer 8 Out of date! 
``````````````Antivirus/Firewall Check:`````````````` 
AntiVir Desktop   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.65.1.1000  
 Java(TM) 6 Update 26  
 Java version out of Date! 
 Adobe Flash Player 	11.2.202.235  
 Adobe Reader X 10.1.0 Adobe Reader out of Date!  
 Mozilla Firefox (16.0.2) 
 Google Chrome 21.0.1180.83  
 Google Chrome 21.0.1180.89  
 Google Chrome 22.0.1229.79  
 Google Chrome 22.0.1229.92  
 Google Chrome 22.0.1229.94  
 Google Chrome 23.0.1271.64  
````````Process Check: objlist.exe by Laurent````````  
 Windows Defender MSASCui.exe 
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamgui.exe  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
 Malwarebytes' Anti-Malware mbamscheduler.exe   
 Windows Defender MSASCui.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````
         

Alt 24.11.2012, 10:03   #15
ryder
/// TB-Ausbilder
 
WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Standard

WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +



Bei so einem Schrott muss man sich über Werbung natürlich nicht wundern.

Zitat:
C:\Users\Nicola\Desktop\SoftonicDownloader_fuer_google-suchen-version-2.exe a variant of Win32/SoftonicDownloader.E application
C:\Users\Nicola\Downloads\SoftonicDownloader21313.exe a variant of Win32/SoftonicDownloader.A application
<b>
Zitat:
Lesestoff:
Softwaredownloader
Es gibt im Internet Downloadportale, die statt die Datei selbst anzubieten, dem User einen Downloader unterjubelt. Startet man diesen, dann wird erst das gewünschte Programm von der Webseite des Anbieters geladen. Üblicherweise installiert dieser Downloader auch Werbeprogramme auf deinem Rechner. Besonders bekannt dafür ist z.B. Softonic. Daber merke dir bitte für die Zukunft:
Schritt 1:</b>

Fix mit OTL

Zitat:
Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.
  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:
ATTFilter
:files
C:\Users\Nicola\AppData\Local\Temp\469C44DA-BAB0-7891-B9DD-C30C0F91AD39
C:\Users\Nicola\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\339be37c-4e5b1247    
C:\Users\Nicola\Desktop\SoftonicDownloader_fuer_google-suchen-version-2.exe    
C:\Users\Nicola\Downloads\SoftonicDownloader21313.exe
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  • Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.


Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein!

Schritt 2:
Update: Internetexplorer
  • Lade dir bitte die neueste Version des Internetexplorers
  • Entferne den Haken bei "Ich möchte Bing ...".
  • Starte die Installation und folge den Anweisungen des Setups.
Schritt 3:
Deinstalliere die alten Versionen von Chrome
Schritt 4:
Java Update (Windows XP, Vista, 7)
Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 9) herunter laden.
  • Während der Installation entferne den Haken bei:

Wenn die Installation beendet wurde:
  • Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:
  • Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen...
  • Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.
Schritt 5:
Update: Adobe Reader

  • Deinstalliere deine alte Version von Adobe Reader (Systemsteuerung > Programme > Deinstallieren).
  • Lade dir die aktuelle Version hier herunter: get.adobe.com/de/reader/
  • Entferne dabei den Haken:

- oder -

Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:


Schritt 6:
Scan mit SecurityCheck
Downloade Dir bitte SecurityCheck
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Antwort

Themen zu WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +
32 bit, avira, excel, flash player, funktioniert nicht mehr, google, install.exe, internet, loadtbs-3.0, mozilla, nicht möglich, pirates, programm, pup.loadtubes, pup.pantsoff.passwordfinder, recycle.bin, registry, rundll, software, spamware, spyware.agent, svchost.exe, tr/atraps.gen, tr/atraps.gen2, tr/crypt.zpack.gen., tr/necurs.a.49, tr/rootkit.gen, trojan.0access, trojan.downloader, trojaner, usenext, viren, vista, ändern



Ähnliche Themen: WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +


  1. Trojaner TR/Sirefef.BC.57, TR/Sirefef.AG.9, TR/ATRAPS.Gen2, TR/Necurs.A.71 und SpyHunter 4 auf Rechner
    Log-Analyse und Auswertung - 07.05.2013 (7)
  2. Mit Avira tr-atraps.gen2 ; TR/necurs.a.71 ; TR/Sirefef.a.78
    Log-Analyse und Auswertung - 05.05.2013 (14)
  3. Trojaner: tr/atraps.gen2, tr/atraps.gen, tr/atraps.gen3, tr/atraps.gen4, tr/atraps.gen5, tr/atraps.gen7 und services.exe virus
    Plagegeister aller Art und deren Bekämpfung - 11.01.2013 (29)
  4. Trojaner Befall TR/ATRAPS.GEN ,TR/ATRAPS.GEN2 , TR/Cutwail.jhg , TR/ZAccess.H , TR/Sirefef.A.37
    Plagegeister aller Art und deren Bekämpfung - 08.10.2012 (17)
  5. Avira findet TR/Kazy.81861, TR/Crypt.ZPACK.Gen2, TR/ATRAPS.Gen2
    Log-Analyse und Auswertung - 02.08.2012 (1)
  6. Wie entferne ich TR/Small.Fl, TR/KAZY.77458,TR.ATRAPS.Gen2, TR/Crypt.ZPACK.Gen8?
    Plagegeister aller Art und deren Bekämpfung - 01.08.2012 (9)
  7. Von Avira gefundene Trojaner - TR/Crypt.ZPACK.Gen, TR/ATRAPS.Gen, TR/ATRAPS.Gen2 und BDS/ZAccess.T
    Log-Analyse und Auswertung - 27.07.2012 (25)
  8. Trojaner Meldung Von FreeAntiVir TR/ATraps/Gen2 / TR/ATraps/Gen
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (3)
  9. Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (30)
  10. Trojaner Atraps.Gen, Atraps.Gen2 und Sirefef.AB.20 - gelöscht, aber auch sicher?
    Log-Analyse und Auswertung - 14.07.2012 (23)
  11. Antivir findet 4 Trojaner: TR/ATRAPS.Gen, TR/ATRAPS.Gen2, Sirefef.P.342, Dldr.Phdet.E.41
    Log-Analyse und Auswertung - 11.07.2012 (1)
  12. TR/Crypt.XPACK.Gen, TR/ATRAPS.Gen2, TR/ATRAPS.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (21)
  13. Trojanerbeseitigung: TR/ATRAPS.GEN, TR/ATRAPS.GEN2 und TR/Crypt.ZPACK. Gen8 auf dem PC.
    Plagegeister aller Art und deren Bekämpfung - 09.07.2012 (2)
  14. Virus (Rootkit.0Access, TR/ATRAPS.Gen, TR/ATRAPS.Gen2) entfernt; tatsächlich clean?
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (7)
  15. Und noch einer: Trojaner TR/ATRAPS.Gen2 und TR/ATRAPS.Gen und W32/Patched.UA HILFE!!!
    Log-Analyse und Auswertung - 28.06.2012 (7)
  16. immer wiederkehrende TR/ATRAPS.Gen und TR/ATRAPS.Gen2
    Log-Analyse und Auswertung - 26.06.2012 (20)
  17. TR/Crypt.zpack.gen2 und TR/Atraps.Gen in C:\Windows\System32
    Log-Analyse und Auswertung - 06.04.2012 (10)

Zum Thema WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + - Hallo freundliche Helfer, als erstes herzlichen Dank, dass Sie sich meines Problems annehmen und mir helfen!;-) Gleich vorab, ich bin der totale Laie, versuche aber alles so gut wie möglich - WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! +...
Archiv
Du betrachtest: WIEDERKEHRENDE TROJANER NAMENS TR/Necurs.A.49; TR/ATRAPS.Gen; TR/ATRAPS.Gen2, TR/Rootkit.Gen; TR/Crypt.ZPACK.Gen.+ DANKE! + auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.