Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 30.01.2013, 10:00   #1
Lydia33
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Hallo,

ich brauche dringend Hilfe, wofür ich mich schon im Voraus herzlich bedanke.
Ich werde versuchen, den chronologischen Ablauf des Sachverhaltes zu schildern, das wird leider etwas länger dauern, aber ich denke, diese Ausführlichkeit wird für die Hilfe notwendig sein.

Seit Ende August 2012 weiß ich, dass ich von jemandem, mit dem ich online Kontakt hatte offensichtlich die ganze Zeit (über ein Jahr) total ausspioniert bzw. beobachtet wurde. Ich hatte natürlich im Entferntesten keine Ahnung davon, dass er solche Dinge tut oder auf solchen Ebenen agiert. Er hat die ganze Zeit über sämtliche Accounts und jegliche Aktivität auf meinem Computer im Blick bzw. zudem Zugriff auf all meinen privaten Dokumente und Fotos gehabt. Ich fühlte mich während der ganzen Zeit über vollkommen sicher und “horchte” erst auf, als er auf Amazon.de, auf meinem Privatkonto, Spuren hinterlassen hatte, um mir zu zeigen, dass er Zugriff auf meinen Account hat. Dies war der Anlass für mich, mein System zu prüfen. Ich hatte davor zwar eine Virensoftware auf meinem Computer, jedoch nur Freeware und hatte diese zudem nicht wirklich mehr aktualisiert oder regelmäßige Systemscans gemacht. Den Computer hatte ich ein Jahr zuvor das letzte Mal neu aufgesetzt, als plötzlich komische Prozesse abzulaufen schienen - das war zu einer Zeit, als er höchstwahrscheinlich auch schon Zugriff auf meinen Computer hatte. Die ganze Zeit über hatte ich DSL, der Computer war oft länger online, so dass der “Datenaustausch” mühelos möglich war und ich bezüglich geringerer Internetgeschwindigkeit nie etwas bemerkt hatte. Nach der “Entdeckung” hatte er nun danach auch noch einmal auf meinem Amazon-Account eingegriffen, aktivierte privat angebotene Bücher, welche ich, da ich verreist war, deaktiviert hatte, wodurch ich dann auch den Schaden hatte und Bestellungen nicht bedienen konnte, bzw. diese stornieren musste. Das ganze geschah etwas später, als ich dachte, mit meinem nun neu angeschafften Computer und den Sicherheitsvorkehrungen sauber zu sein. Wobei es möglich sein kann, dass er unabhängig von meinem Computer den Amazon-Account “gehackt hat” (das Passwort hatte ich jedoch schon geändert und es war sehr lang und sicher), wobei mein Computer so muss ich jetzt annehmen zu diesem Zeitpunkt auch schon wieder kontaminiert war.. Jedenfalls hatte sich unabhängig von meinem Computer auch zusätzlich in die FB Seiten von Freunden “gehackt”, diese natürlich auch im Blick gehabt, zumindest mit „Fake“- Accounts geaddet und auch zum Teil gehackt und zudem auch einige Male im Namen einer Freundin gepostet, was noch nicht so lange her ist. Da für mich logischer Weise dieses Sicherheitsproblem meinen Freunden gegenüber nicht zu verantworten ist, habe mich erst einmal aus FB zurückgezogen. (Ich hatte sogar versucht, anonyme Accounts anzulegen, wo er mich immer wieder gefunden hat, da ich nun weiß, dass er jegliche Internetaktivitäten meinerseits im Blick hatte, verwundert mich das jetzt nicht mehr. Hauptsächlich ging es “der Person” grundlegend jedoch darum, mich auszuspionieren (und zugleich damit auch Macht zu demonstrieren), was für ihn wahrscheinlich generell normal und schon lange eine Freizeitbeschäftigung darstellt. Auf jeden Fall war ich sehr enttäuscht und fühlte mich hintergangen, da ich für lange Zeit großes Vertrauen in ihn hatte. Die Geschichte ist lang, aber tut hier nichts zur Sache. Heftig fand ich jedenfalls ebenfalls, zu sehen, dass er nicht aufhörte und wie ich annehmen muss, auch nicht unbedingt aufhören kann, sofern ihm eine Möglichkeit geboten wird. Ich hoffe nun, dass ich mit eurer Hilfe meinen Computer Stück für Stück säubern kann, um “meine Ruhe” haben. Zudem werde in Zukunft online nur noch ausgesprochen vorsichtig überhaupt aktiv sein. Als ich damals den Eintrag in Amazon sah, war ich überrascht. Als ich dann kurz danach (nach einer Neuinstallation von Windows, zum Test mein Hintergrundbild änderte, reagierte er sofort darauf, es war dadurch eindeutig bewiesen, dass er auf meinen Computer Zugriff hat. Das war ein komisches Gefühl. Als ich das nächste Mal online war, löschte er als Demonstration seiner Möglichkeiten einen Treiber auf meinem Computer. Zuvor und auch später noch einmal wurden zudem Daten von meiner externen Festplatte gelöscht bzw. (ausführbare) Dateien hinzugefügt. Nach dem Löschen der Treiber wollte meinen alten Computer neu aufsetzen, was dann aber nicht mehr möglich war, zudem streikte das DVD-Laufwerk ebenfalls (5 Jahre alter Laptop) Ich musste mir deshalb nun einen neuen Rechner zulegen. Eine Woche später habe ich den alten Computer dann auch wieder hinbekommen und konnte Windows neu installieren. Ich ging dort online - dann passierte das (eben erwähnte) mit dem Hintergrundbild, der Computer war also auch immer noch infiziert. Im Internetcafé, welches zur Zeit und schon damals, aufgrund eines Umzuges, weit entfernt war, habe ich natürlich alle meine Passwörter geändert usw, zudem Software die ich benötigte runtergeladen und nach Informationen im Netz gesucht. Ich hatte zu der Zeit im August, September - und dies ist immer noch der Fall, aufgrund eines Wohnortwechsels nur sehr begrenztes Internet - es gibt hier in der Gegend noch kein DSL. Ich nutze einen Internet Stick (z. Zt. 6-9 kb/s Downloadrate), demzufolge war die Verbindung auch viel langsamer. Aktuell ist die Verbindung nun völlig blockiert, durch Upload- und Downloadaktivitäten initiiert durch die Maleware.
Ich muss sagen, ich war zuvor völliger Laie was den Computer betrifft und wie jeder 'durchschnittliche Computer- und Internet-Nutzer' auch relativ uninformiert, was das Thema Maleware und Internetsicherheit betrifft. Natürlich habe ich mich belesen und versuchte seit dem, mich von meinem „Stalker“ zu 'befreien”:

Ich stellte damals fest, dass sich die Maleware sich über USB-Sticks und externe Festplatten usw. überträgt (der Virus, welchen ich damals auf meiner Externen Festplatte hatte s.u.). Auf die Weise hatte ich, wie ich danach sehen musste, auch gleich mal 2 Computer der Familie infiziert (einer dieser Computer befindet sich noch im „Originalzustand“, mit diesem war ich damals nur einmal ca. 2 h online und es wurde dabei „live“ von “ihm” eine sehr wichtige Datei gelöscht, was meinem Vater (sein Computer) 2 Tage Arbeit einbrachte. Ich habe auf diesem Computer, der seit dem auch nicht wieder mit dem Internet verbunden war, mit Avira Free Antivirus die Maleware WORM/Kido.IX und APPL/NstallIQ.Gen5 (Nb.: betrifft nicht den aktuell betrachteten Computer) gefunden. Auf meiner damals die Maleware übertragenden externen Festplatte wurde der hartnäckige Trojaner Downloader.Generic10.AGXJ (betroffen war die System Volume Information) gefunden.
Mein „ aktueller“, neuer Computer ist höchstwahrscheinlich nicht von dieser Maleware angesteckt worden, falls er nicht doch von dem Internetdatenstick übertragen wurde (von dem ich annahm , er könne nicht manipuliert werden (da ich selbst keinen Zugriff hatte), den ich soweit ich mich entsinnen kann, damals nämlich nicht ausgetauscht hatte. Ich hatte ansonsten keine der alten USB-Sticks, bzw. die alte externe Festplatte oder vorher genutzte SD Speicherchips angeschlossen. Der zweite „angesteckte“ Computer (meine Eltern) weist ein ähnliches Problem auf, wie ich es auf meinem jetzigen, neuen Computer (um den es in diesem Post geht) ebenfalls habe. Auch dort habe ich es ebenfalls schon oft mit einer Neuinstallation von Windows probiert, ebenfalls noch extra formatiert, auch ohne Erfolg. Mit dem Computer war ich das Jahr zuvor auch ab und zu online und habe wahrscheinlich damals auch schon diese Maleware übertragen, welche dann, was anzunehmen ist, beim Onlinegehen erweitert wurde.

Mein Ziel ist es jetzt nun zuerst einmal, meinen eigenen Computer vollständig zu bereinigen – ich hoffe, dass dies möglich ist (welchen ich ja auch dringend benötige) - um dann irgendwann die anderen Computer ebenfalls in Angriff zu nehmen.

Beim neuen Computer (gekauft Ende August '12) verhielt sich anfangs so, dass ich annahm, das System sei seit dem Neukauf sauber und neutral. Ich nutzte in der Zeit nur die vorinstallierte Security-Software von McAfee an der ich weder etwas speziell konfiguriert oder irgendwelche Standardsicherheitseinstellungen zu mehr Sicherheit hin verändert, noch mir die Protokolle über Internetaktivitäten und Eindringversuche angeschaut hatte. Da die Software in Einschätzungen im Internet nicht so gut abschnitt und ich aufgrund von Äußerungen „desjenigen Stalkers“ immer noch annehmen musste, dass ich offensichtlich immer noch bedroht bzw. zumindest Angriffsversuchen ausgesetzt war, schaffte mir am 14.10.12 die Zone Alarm Extreme Security 2012 (ZA) (für 3 Computer) an. Dort musste ich dann sehen, dass ich bei jedem Onlinegehen Portscans bzw. auch Zugriffversuche zu verzeichnen hatte (das gleiche fand auf dem alten Laptop statt, wo ich auch online ging). Ich musste wegen meiner langsamen Verbindung und schlechten Netzes recht oft eine neue Verbindung aufbauen und jedes Mal hatte ich Portscans zu verzeichnen. Anfangs dachte ich, derjenige wüsste meine IP Adresse, bzw. dass diese sich nicht ändern würde, später sah ich, die Zugriffversuche oder Portscans waren unabhängig von einer Änderung der IP Adresse und erschienen wirklich im Augenblick der Herstellung einer Internetverbindung. Das gleiche geschah auf dem Computer meiner Eltern, wo ich ebenfalls die ZA-Software installiert hatte. Da ich die Datenchipkarte zum Onlinegehen, wie oben erwähnt, ausgetauscht hatte zudem auch den Internetdatenstick, nahm ich an - nun alles andere ausgeschlossen habend (ich ging davon aus, Maleware kann eine Neuinstallation nicht überleben) - dass schon die downgeloadete Datei von ZA kontaminiert sein musste. Der Downloadlink von ZA in meinem Amazon-Account, wo ich die Software gekauft hatte, war auch gelöscht worden, so konnte ich diese nicht erneut downloaden (wobei die Software nach meinen jetzigen Erkenntnissen, wahrscheinlich sogar sauber war).
Da ich mich wie schon erwähnt mit diesen Portscans bombardiert sah, obwohl ich die höchsten und anonymen Sicherheitseinstellungen in der Firewall eingestellt hatte (und wie ich jetzt stark annehme, meine Verbindung wahrscheinlich schon wieder auch zum Installieren neuer Maleware „genutzt“ wurde - ich konnte damals die Uploads und Downloads damals noch nicht optisch nachvollziehen, aber die Verbindung war zumindest recht schlecht), legte ich mir dann Ende Oktober sogar noch die Bitdefender Total Security 2013 (für 80 Euro ) zu und zeitgleich dann eine neuen Internetstick um eine Infektion völlig auszuschließen. Nach Recherche im Internet war ich davon überzeugt, dass diese Software eine der am besten schützenden Firewalls sei und hoffte, sie würde ihren Dienst tun. Leider war mir damals nicht klar, dass es Maleware gibt, die eine Firewall einfach hintergehen kann bzw., dass ich solche Maleware trotz Neuformatieren (Nullen mit Darik's Boot & Nuke) auf dem Computer haben könnte. Über diese Möglichkeit hatte ich bis dato nirgends aussagekräftiges gelesen.

Die ganze Zeit über hatte ich beim Scannen mit den Komplettschutz-Securities (Zone Alarm Extreme Security 2012, Bitdefender Total Security 2013 und McAfee), deren Virenschutz täglich aktualisiert wurde, niemals einen Funde aufzuweisen. Beim Scannen mit dem online aktualisierten Malewarebytes ergaben sich ebenso niemals Funde.

Nach einem Monat der Nutzung von Bitdefender (1.11.-1.12.12) (siehe Anhang), ich hatte mich während dieser Zeit ziemlich sicher gefühlt, aber auch nur, weil Bitdefender alles selbst regelte und ich mir die Log-Datei während der Zeit nicht angeschaut hatte (da diese nicht so schnell zu finden war), traten dann plötzlich eines Abends, am 30.11.12 im Task- Manager bei vielen Prozessen der Zusatz "*32" auf, was sehr komisch aussah. Innerhalb von Minuten wurden immer mehr ".exe- Dateien" von diesem Zusatz “infiziert” . Mein System wurde langsam und viele Prozesse liefen im Hintergrund ab, was sich nach einem Neustart noch verstärkte. Ich habe dann nach der Log-Datei von Bitdefender gesucht und diese auf CD gebrannt um dann das System neu zu formatieren und aufzusetzen.

Da ich wegen schlechten Netzempfanges nur eine sehr langsame Internetverbindung hatte und für z.B. 250 MB viele Stunden Downloadzeit benötigen würde konnte ich Bitdefender nicht noch einmal installieren (vor allem, da es die Deinstallation der alten Firewall am Anfang des Downloads stattfindet, ich sah mich während der langen Downloadzeit nicht unbedingt gut geschützt).
Dem alten Zone Alarm Extreme Security (ZA), sofort nach Installation ohne Online-Installation einsatzbereit, traute ich ja nicht mehr. Da der Original- Download-Link des Kaufes der Software (auch bei Amazon) von meinem sogenannten Freund gelöscht worden war, und nirgends zu bekommen war, habe ich am 01.12.12 über den (amerikanischen) Kundenservice von ZA via Chat netterweise noch einmal den „Komplettdownload-Link“ bekommen und konnte so die Software noch einmal vollständig und neu runterladen.

In diesem Moment bin ich über Knoppix online. Dies ist zur Zeit für mich auch die einzige Möglichkeit, online zu gehen, bis diese bösartige Maleware entfernt habe. Denn es verhielt sich nun so dass, wenn ich nach einer Neuinstallation von Windows online gegangen bin, ich im Prinzip keinen Zugriff mehr auf das Internet hatte. Das Laden einer Internetseite ist nicht mehr möglich ist, während ich zugleich viele Up- und Downloadaktivitäten auf der Grafik der Internetsticks-Software sehen kann (begünstigt auch durch die sowieso langsame Internetverbindung).
Anmerkung: Ich wusste bis vor zwei Wochen nicht, dass ich mit der Knoppix-CD, welche ich mir schon gleich am Anfang gebrannt hatte, auch per Internetstick online gehen kann. Das Wissen über diese Möglichkeit hätte mir natürlich viel Zeit und Mühe gespart. Ich hätte mich auch schon eher Hilfe suchend an das Forum wenden können.(Ich hatte damals nur versucht, Linux zu installieren und gesehen, dass man dort mit einem Internetstick nicht online gehen kann, jetzt weiß ich jedoch, dass dies auch dort möglich ist, jedoch die Einrichtung wie es aussieht recht kompliziert ist.)

Noch einmal zurück zum weiteren zeitlichen Geschehen. Ich hatte nun eine als sauber anzunehmende ZA-Software und trotzdem traten nach jedem Neuinstallieren bzw. Formatieren wieder diese Port-Scans bzw. diese Eindringversuche auf, auch trotz erneutem Auswechseln des Internet- Daten-Sticks und der Chipkarte (was alles ins Geld ging).
Nach dem Ausschluss aller anderen Möglichkeiten vermutete ich nun, die Ursache muss in meinem System selbst liegen. Das System musste infiziert sein bzw. gleich beim Neuinstallieren infiziert werden, denn trotz Formatieren (selbst mit Boot & Nuke, sogar trotz DoD Methode- 3-faches Überschreiben, was 24 h dauerte und was ich auch einmal ausprobiert hatte) und Neuaufsetzen (was ich nun auch bestimmt 30 mal gemacht habe).
Ich habe auf meinem neuen aktuellen Rechner das vorinstalliertes Betriebssystem Windows 7, 64 bit. Da ich damals leider erst ca. 2 Wochen nach dem Kauf die Recovery- DVD's für den Computer erstellt hatte, nahm ich nun berechtigter Weise an, dass ich diesen DVD's höchstwahrscheinlich nicht trauen kann. Denn ich rechnete erst einmal immer noch damit, dass ein Formatieren alle Viren komplett beseitigen würde. Also blieb mir nur eine einzige Möglichkeit, nämlich die Original Recovery-DVD's noch einmal neu (für 50 Euro) von Acer zu bestellen (ich hatte vorher mit dem Kundenservice telefoniert ect. Und es war mir auch nicht möglich gewesen statt dessen einfach Windows XP auf den neuen Laptop zu installieren, die Treiber dafür fehlten und wurden auch nicht angeboten). Ich nutze demnach nun seit dem 28.12.12 bei Neuinstallationen des Systems diese sauberen Original-Recovery-DVD's. Das was schon einmal ein Anfang.
Nach einem entsprechenden Formatieren und Neuaufsetzen des Systems sah ich mich nun trotzdem, enttäuschender weise, immer noch mit dem gleichen Problem konfrontiert, wie zuvor: Nach dem ersten Start und dann vor allem nach einem zweiten Neustart kamen viele Prozesse in Gang, bei einigen Prozessen wurde „*32 „ angezeigt (nicht mehr so viele wie bei der ersten Infektion, von Bitdefender dokumentiert), wobei die Aktivitäten von Prozessen im Hintergrund nach einem Neustart immer enorm zunahmen bzw. auch dieser Anhang *32 bei jeder von mir neu installierten bzw. aktivierten oder auch vom System aktivierten Software auftrat. Beim Online gehen sah ich wie schon gesagt, Uploads, das Laden der Seiten war blockiert, wobei auch „downgeloadet“ wurde. Ich bin deshalb nie lange online geblieben, bzw. konnte fast gar nicht mehr online gehen. Ich habe jedenfalls bemerkt, dass jegliche „Veränderung“ im System meinerseits, später sofort als Information gesendet wurde (sichtbar an einer augenblicklichen Erhöhung der Upload-Rate). Ich hatte dann während der Zeit auch probiert, einige dubiose Programme zu löschen ect..

Auch versuchte ich dann, für die meisten (also die von mir nicht installierten bzw. auch nicht benötigten) Prozesse mit Zone Alarm einzeln die Internetaktivität zu verbieten, was dann Resultat dazu führte, dass diese dubiosen, alles andere blockierenden, Up-und Downloadprozesse erfolgreich (aber etwas zufällig) in ihrer Wirkung eingegrenzt bzw. blockiert wurden. Jedoch waren diese Prozesse meist nach einem Neustart des Computers wieder aktiviert (ich vermute, es waren Prozesse, die auch Systemprozesse sein können, bzw. Welche als Systemprozesse getarnt sind). Ich konnte selbständig und durch eigene Recherche immer noch nicht konkret die bösartigen Prozesse herauskristallisieren. Dass dies nur ein ein Profi kann, wurde mir sehr schnell klar. Spätestens jetzt weiß, dass ich sehr wenig über Computer und Windows weiß . Im Prinzip konnte ich die ganze Zeit über selbst nur versuchen, Stück für Stück Dinge ausschließen und mich vorzutasten, ich sehe jetzt aber an dem Punkt, wo ich meine eigenen Möglichkeiten völlig ausgeschöpft habe. Na ja, wenigstens habe ich etwas gelernt über die Zeit .

Ich hatte dann, nun online gehen könnend, mit Spybot Seach & Destroy gescannt und hatte dort auch Funde aufzuweisen, einige Registry-Einträge konnte man nicht entfernen. Der Scan (ich habe nicht mehr alle Log Dateien, eine habe ich gefunden s.u., ich hatte zeitweise auch nur Fotos vom Bildschirm gemacht, einfach um einfach unternommene Abläufe oder Schritte festzuhalten) machte mich überhaupt das erste Mal so richtig auf die Registry aufmerksam – bzw. wurde mir jetzt klar, warum so vieles nicht in der Suche unter C: finden konnte. Ich habe die Registry dann auch etwas durchstöbert und auch für mich komisch aussehende Einträge gefunden, z.B. auch Einträge die die Url‘s gewisser Seiten blockierten (z.B. Pandasecurity.com und auch Updates von Microsoftsicherheitssoftware ect.), welche ich dann gelöscht habe. Ich hatte auch einiges andere gelöscht, wohl wissend um das Risiko, wichtiges Einträge zu löschen, was dann auch passiert ist . Aber ich konnte ja neu installieren und habe danach auch mit den Versuchen eines dem selbstständigen „Bereinigens“ und Ausprobierens aufgehört .
Bei mir hat sich gerade beim nochmaligen Recherchieren im Internet die Frage aufgetan, ob es sich bei meiner Infektion vielleicht auch um einen Bios-Rootkit handeln könnte? Das wäre ja unschön.
(Nebenbemerkung: bei dem anderen infizierten Computer meiner Eltern, sieht es zumindest nach einer zusätzlichen Infektion der Netzwerkkarte aus, ich hatte jeweils nach Systemneuinstallation gleich mit GMER gescannt, einmal vor und einmal nach nach Herausnahme der ISDN- und Modem-Karten(2 getrennte Versuche), Gmer zeigte beim Scan nach Herausnahme beider Karten nichts an, im Gegensatz zu dem Fall, dass diese eingesteckt waren, aber das gehört ja jetzt nicht hierher).

Danach hatte ich mit Panda Security – Active-Online Scan einen Fund aufzuweisen, siehe unten.

Zudem fand damals beim zufälligen Suchen der Ursache sofort nach einer Systemneuinstallation (auch nach einem vorigem Extra-Formatieren) die Datei edb.chk (an 4 Orten). Wobei chk als „Wiederhergestelltes Dateifragment“ bezeichnet wurde. Dies machte mich stutzig, denn dies waren die einzigen für mich auffindbaren Dateien, die für das Weitergeben und Initiieren (alter) Maleware bzw. für die Tarnung in und auch Nutzung der Windows-Systemprozesse auschlaggebend sein müssten, es waren die einzigen wieder hergestellten Dateien. Zudem habe ich gelesen dass das Vorhandensein dieser Datei im Ordner: C:\Windows\System32\Catroot2 und zudem ein Abweichen von der üblichen Größe der Datei (ich glaube, 1KB) auf Maleware hinweist.

Da ich bis jetzt keinen Vergleich mit einem „sauberen“ Computer bzw. dem Normalzustand hatte, liste ich die Dateien einfach einmal auf.

edb.chk (chk= wiederhergestellte Dateifragmente) in C:\Windows\System 32\Catroot2
und an 3 anderen Orten (aktueller Zustand):
in C:\Windows\SoftwareDistribution\DataStore\Logs;
in C:\Users\admin\AppData\Local\Microsoft\WindowsMail und in
C: \Windows\security\database.

Diese Datei wurde auch durch Formatieren mit Boot &Nuke und Neuinstallationen des Systems nicht entfernt. Alle edb.chk Dateien sind 8 KB groß.

In Catroot 2 erscheinen diese edb-Dateien
edb.chk (8kb)
edb.log (64kb)
edb00628.log (64 kb)
edbres00001.jrs (64 kb)
edbres00002.jrs (64 kb)

Bei diesen Dateien (nur in Catroot und Catroot 2 der Fall) tritt der Benutzer "CryptSvc" und wechselnd (mal erscheinend und mal nicht) "Trusted Installer" auf. Als ich versucht habe, diese Benutzerrechte zu entfernen ebenso im übergeordneten Ordner, erschienen diese, sobald irgendein Prozess, eine Veränderung von mir am Computer vorgenommen, wieder. Ebenso weist der Ordner {F750E6C3-38EE-11D1-85E5-00C04FC295EE} in Catroot 2 diese Berechtigungen auf, zudem der Ordner Catroot.
Ich habe eben geschaut, die edb-Dateien erscheinen auch an den anderen o.g. Orten
( C:\Windows\SoftwareDistribution\DataStore\Logs; C:\Users\admin\AppData\Local\Microsoft\WindowsMail;C: \Windows\security\database).

Der Ordner C: \Windows\security\database enthält die Dateien:
edb.chk (8.0 kb)
edb.log (1.024kb)
edbres00001.jrs (1.024kb)
edbres00002.jrs (1.024 kb)
tmp.edb (1.032 kb) und die Datei
secedit.sdb (1.032 kb)

C:\Users\admin\AppData\Local\Microsoft\WindowsMail
enthält von den edb Dateien zusätzlich: edb0001.log

(ich zähle jetzt nicht alle vorhandenen Dateien des Windows Mail- Ordners auf und warte lieber auf Anweisungen, da ich ja nicht weiß, was überhaupt relevant und abnormal ist)
Unter C:\Users\admin\AppData\Local erscheint eine komische Datei:

GDIPFONTCACHEV1.DAT

(Anmerkung, ich nehme an , ich habe einige Maleware-Software versteckt auf meinem PC, ich hatte ja in der Registry viele „komische Einträge“ und Softwarebezeichnungen gesehen), da ich jedoch überhaupt keinen Überblick habe, kann ich ja nicht beurteilen, was normal und was Maleware ist).

Unter C:\Windows\SoftwareDistribution\DataStore\Logs
finde ich die Dateien:
edb.chk
edb.log (8kb)
edb00008.log (1.280 KB)
edb00009.log (1.280 KB)
edbres00001.jrs (1.280 KB)
edbres00002.jrs (1.280 KB)

unter C:\Windows\SoftwareDistribution\DataStore gibt es noch eine Datei:
DataStore.edb (8.256 kb)
unter C:\Windows\SoftwareDistribution erscheint:
ReportingEvents.log (5,7 kb)
Dies zur edb.chk-Datei.

Zum aktuellen Stand.
Ich hatte vor einigen Tagen diesen Post schon "im Groben" geschrieben, dann habe ich doch noch einmal eine wichtige Boot-Systemdatei gelöscht und musste das System neu installieren, diesmal tat ich dies das erste Mal unter Erhalt von Daten.
Das System wurde also neu installiert, während ich die Zeit nach der letzten Neuinstallation nicht online gegangen war, bin ich jetzt nach einem ersten Scan mit OTL auch kurz online gegangen (genauer Ablauf s.u.) und habe insgesamt noch einmal auch einige andere Scans „durchlaufen“ lassen.

Den folgenden Abschnitt hatte ich schon zuvor geschrieben, ich füge jetzt noch einmal die Veränderungen nach der Neuinstallation und einem kurzem Onlinegehen hinzu (wobei ich mir nicht sicher bin bezüglich irgend einer Relevanz des Posts):
„Da ich damals den Virus /Wurm (der ursprüngliche Überträger) in der System Volume Information - jedoch damals auf der externen Festplatte - hatte, poste ich auch einmal die Dateien, welche sich in entsprechendem Ordner in meinem Computer befinden, denn vor allem die erste Datei kommt mir verdächtig vor (von Knoppix aus gelesen).“

tracking.log (Anwendungsprotokoll) (20,5 kb)

Sonst enthält die System Volume Information noch die Dateien:

Syscache.hve.LOG2 (Einfaches Textdokument) (0kb)

Syscache.hve.LOG1 (Unbekannt) (119,8kb) (nach Neuinstallation u. Kurzem Onlinegehen: 262,1 kb)

Syscache.hve (Unbekannt) (786,4kb) (nach Neuinstallation 7,1 Mb)

MountPointManagerRemoteDatabase (Einfaches Textdokument) (0kb)

{3808876b-c176-4e48-b7ae-04046e6cc752} (Unbekannt) (65,5kb)

{630514e2-5fef-11e2-814d-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (Unbekannt) (183,0 Mb)
{61e65834-6200-11e2-b1fb-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (Unbekannt) (536,9 Mb)
{9e67e59b-61ff-11e2-aea0-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (Unbekannt) (145,1 Mb)

anstelle der letzten 3 Dateien nun nach Neuinstllation diese 2 Dateien:
{94f72e26-69f4-11e2-919f-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (536,9 MB)
und
{4dd8974a-685c-11e2-b963-c01885f8f62d}{3808876b-c176-4e48-b7ae-04046e6cc752} (334,0 MB)

daneben gibt es noch die 2 Ordner (ich liste die aktuellen Ordner nicht noch einmal auf)
“SPP” mit Unterordner “OnlineMetadataCache” inklusive der Dateien:
{f3381f0b-2d93-4f58-9404-872ae60f9c19}_OnDiskSnapshotProp (Unbekannt) (6,6kb) {e63a4c95-b621-4bbf-8f9c-fa8005b0a6b1}_OnDiskSnapshotProp (Unbekannt) (6,6 kb){226cf169-4201-4dae-9796-136aeb4b4dca}_OnDiskSnapshotProp (Unbekannt) (6,6 kb)
und “Windows Backup” mit dem Unterordner “Catalogs”, welcher die Datei “GlobalCatalogLock.dat”(Einfaches Textdokument) (0Bytes) enthält.

Im Folgenden nun einige über die Zeit gemachte Scans, wobei ich versuche, chronologisch zu posten.

Alte Gmer-Scans zeigten folgende Resultate, ich muss aber bemerken, das GMER auf meinem System, im Gegensatz zu den anderen Computern, nur einen Scan von Services, Registry und Files durchführen kann (die Kästchen der anderen Optionen lassen sich nicht anklicken bzw. Aktivieren):

Gmer (01.12.12):

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net 
Rootkit scan 2012-12-01 10:25:50 
Windows 6.1.7601 Service Pack 1 
Running: 2wqdhmmj.exe 


---- Registry - GMER 1.0.15 ---- 

Reg   HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e                                                                                                                                                            
Reg   HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)                                                                                                                                        
Reg   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\Users\997621660943s3f1h7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intel\Überwachungstool für die Intel\xae Turbo-Boost-Technik 2.5.lnk  1 
Reg   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Überwachungstool für die Intel\xae Turbo-Boost-Technik 2.5.lnk                               1 

---- Files - GMER 1.0.15 ---- 

File  C:\Windows\System32\wbem\Performance\WmiApRpl_new.ini                                                                                                                                                                                  52302 bytes 

---- EOF - GMER 1.0.15 ----

GMER 1.0.15.15641 - hxxp://www.gmer.net 
Rootkit scan 2012-12-01 20:05:16 
Windows 6.1.7601 Service Pack 1 
Running: uvi2yzwo.exe 


---- Registry - GMER 1.0.15 ---- 

Reg   HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e                                                                                                                                                            
Reg   HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)                                                                                                                                        
Reg   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\Users\997621660943s3f1h7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intel\Überwachungstool für die Intel\xae Turbo-Boost-Technik 2.5.lnk  1 
Reg   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Überwachungstool für die Intel\xae Turbo-Boost-Technik 2.5.lnk                               1 

---- Files - GMER 1.0.15 ---- 

File  C:\Users\997621660943s3f1h7\Downloads\ZASPSetup_110_000_020 (1).exe.h7xxnc7.partial                                                                                                                                                    (size mismatch) 6403664/5355088 bytes executable 

---- EOF - GMER 1.0.15 ----
         

Gmer (06.12.12)

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net 
Rootkit scan 2012-12-06 13:59:41 
Windows 6.1.7601 Service Pack 1 
Running: 2wqdhmmj.exe 


---- Registry - GMER 1.0.15 ---- 

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e                      
Reg  HKLM\SYSTEM\CurrentControlSet\services\rdyboost\Parameters@ReadyBootPlanAge                      1 
Reg  HKLM\SYSTEM\CurrentControlSet\services\rdyboost\Parameters@LastBootPlanUserTime                  ?Do?, ?Dez ?06 ?12, 01:51:29??????????????????????????????????? 
Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)  

der zweite Scan nach Computerneustart:

GMER 1.0.15.15641 - hxxp://www.gmer.net 
Rootkit scan 2012-12-06 14:25:36 
Windows 6.1.7601 Service Pack 1 
Running: 2wqdhmmj.exe 


---- Registry - GMER 1.0.15 ---- 

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e                                                     
Reg  HKLM\SYSTEM\ControlSet002\Control\CMF\SqmData@SystemStartTime                                                                   0x4A 0x14 0x41 0x0C ... 
Reg  HKLM\SYSTEM\ControlSet002\Control\CMF\SqmData@SystemLastStartTime                                                               0x8B 0x12 0x1E 0x38 ... 
Reg  HKLM\SYSTEM\ControlSet002\Control\CMF\SqmData@CMFStartTime                                                                      0x4A 0x14 0x41 0x0C ... 
Reg  HKLM\SYSTEM\ControlSet002\Control\CMF\SqmData@CMFLastStartTime                                                                  0x8B 0x12 0x1E 0x38 ... 
Reg  HKLM\SYSTEM\ControlSet002\Control\CMF\SqmData\BootLanguages@de-DE                                                               14 
Reg  HKLM\SYSTEM\ControlSet002\Control\Diagnostics\Performance@ActiveShutdownDCL                                                     C:\Windows\System32\WDI\LogFiles\WdiContextLog.etl.003 
Reg  HKLM\SYSTEM\ControlSet002\Control\GraphicsDrivers\Configuration\LGD02DC0_00_07DA_79^43DE932A75FD237B0BDE555D6E837849@Timestamp  0xC9 0x0F 0x4E 0x0D ... 
Reg  HKLM\SYSTEM\ControlSet002\Control\Lsa@LsaPid                                                                                    676 
Reg  HKLM\SYSTEM\ControlSet002\Control\Session Manager\Memory Management\PrefetchParameters@BootId                                   28 
Reg  HKLM\SYSTEM\ControlSet002\Control\Session Manager\Memory Management\PrefetchParameters@BaseTime                                 367667337 
Reg  HKLM\SYSTEM\ControlSet002\Control\Terminal Server@InstanceID                                                                    12949bfd-4510-41f1-ae60-4593dd6 
Reg  HKLM\SYSTEM\ControlSet002\Control\WDI\Config@ServerName                                                                         \BaseNamedObjects\WDI_{ebef2451-c339-4c1a-8d20-df639e43c1d8} 
Reg  HKLM\SYSTEM\ControlSet002\Control\WMI\Autologger\AITEventLog@FileCounter                                                        3 
Reg  HKLM\SYSTEM\ControlSet002\Control\WMI\Autologger\WdiContextLog@FileCounter                                                      1 
Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)                                 
Reg  HKLM\SYSTEM\ControlSet002\services\rdyboost\Parameters@LastBootPlanUserTime                                                     ?Do?, ?Dez ?06 ?12, 01:51:29??????????????????????????????????? 
Reg  HKLM\SYSTEM\ControlSet002\services\SharedAccess\Epoch@Epoch                                                                     332 
Reg  HKLM\SYSTEM\ControlSet002\services\stisvc@Start
         
Gmer (08.12.12) nach Systemneuinstallation:

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net 
Rootkit scan 2012-12-08 06:21:41 
Windows 6.1.7601 Service Pack 1 
Running: uvi2yzwo.exe 


---- Registry - GMER 1.0.15 ---- 

Reg   HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e                                                                                                                                                            
Reg   HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)                                                                                                                                         
Reg   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\Users\997621660943s3f1h7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intel\Überwachungstool für die Intel\xae Turbo-Boost-Technik 2.5.lnk  1 
Reg   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Überwachungstool für die Intel\xae Turbo-Boost-Technik 2.5.lnk                               1 

---- Files - GMER 1.0.15 ---- 

File  C:\Users\997621660943s3f1h7\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\H0EX05X4\Special_RecordImpression[1].png                                                                                          0 bytes
         
Gmer (12.12.12)

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net 
Rootkit scan 2012-12-12 00:15:03 
Windows 6.1.7601 Service Pack 1 
Running: 2wqdhmmj.exe 


---- Registry - GMER 1.0.15 ---- 

Reg   HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e                      
Reg   HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e                      
Reg   HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)  
Reg   HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)  
 
---- Files - GMER 1.0.15 ---- 

File  C:\ProgramData\Microsoft\RAC\Temp\sql1BE9.tmp                                                    20480 bytes 
File  C:\ProgramData\Microsoft\RAC\Temp\sql1C48.tmp                                                    20480 bytes 
File  C:\ProgramData\Microsoft\RAC\Temp\sql1BE9.tmp                                                    20480 bytes 
File  C:\ProgramData\Microsoft\RAC\Temp\sql1C48.tmp                                                    20480 bytes
         

Von einem Scan mit Spybot Search & Destroy am 01.01.13 habe ich noch eine "Check"- Datei, siehe Anhang.

Ich hatte ebenfalls Scans mit HijackThis durchgeführt, z.B. einen am 29.12.12, welchen ich bei Bedarf auch noch posten könnte.

Das Resultat eines Online-Active-Scans mit der Panda Security am 10.01.13 zeigte folgende Maleware im OEM an (welche ich durch die Software entfernen lassen habe):

00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup_mlp.cmd
00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup.cmd
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\9rg85dxs.txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\t01lddfg.txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\fikutbjb.txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\d3g98m5f.txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\7e30yvkx.txt
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No c:\users\435267\appdata\roaming\microsoft\windows\cookies\low\dqq09f6s.txt


Am 16.01.13, zum Zeitpunkt der vorletzten kompletten Neuinstallation des Systems (ohne jegliches Onlinegehen), vor der letzten (aktuellen) Neuinstallation des Systems am 26.01.13 (unter Erhalt der Daten mit kurzem Onlinegehen)
wurden folgende Scans vorgenommen:

Der Scan mit Malewarebytes ergab keinen Fund, wobei ich die Software nicht online aktualisieren konnte. Die ganzen letzten Monate habe ich ebenso keine Funde aufweisen können, obwohl zuvor online aktualisiert wurde.
Den aktuellen (gestrigen) Scan, konnte ich auch nur ohne vorheriges Online-Update ausführen.
Ich konnte zwar online gehen, der Download stoppte jedoch bei 4 % (ebenso wurden nach Aufruf keine Seiten im Browser geladen, wobei parallel und ohne mein Zutun andere Uploads und vor allem Downloads stattfanden, so dass ich bald wieder offline ging). Mindestens seit dieser Neuinstallation (wahrscheinlich sogar schon seit der "Bereinigung" duch Combofix oder durch andere eigene Säuberungen davor) wird der Anhang *32 übrigens nicht mehr im Taskmanager angezeigt. Zudem laufen nicht mehr so unheimlich viele blockierende Prozesse im Hintergrund ab.

Scan mit Malewarebytes (29.01.13)

Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.09.29.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
admin :: ABCD [Administrator]

29.01.2013 10:32:32
mbam-log-2013-01-29 (10-32-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 327204
Laufzeit: 24 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Ein Scan mit TDSSKiller am 16.1.13 zeigte folgendes Resultat (vollständiger Scan im Anhang):


14:01:28.0939 4260 Detected object count: 1
14:01:28.0939 4260 Actual detected object count: 1
14:02:29.0342 4260 wltrysvc ( UnsignedFile.Multi.Generic ) - skipped by user
14:02:29.0342 4260 wltrysvc ( UnsignedFile.Multi.Generic ) - User select action: Skip
14:02:56.0065 4152 Deinitialize success

Ein nochmaliger Scan mit TDSSKiller am 29.1.13 ergab keinen Fund.

Mit PestPatrol (Kostenlose Testversion) fand ich am 16.01.13 (ist aktuell immer noch vorhanden) diese Maleware:

16.01.2013-14:03:51,30274546,1343962384, Detected,
AdClicker 1.0,Adware,453094156,ProcessId "2080" File "Ä",-1,
16.01.2013-14:03:52,30274546,1354882384,Detected,
Trojan.Win32.StartPage.fw,Homepage Hijacker,453087046,File "c:\windows\system32\mfplay.dll",-1100155866,

Zudem habe ich am 16.01.13 einen Scan mit dem DDS- Tool durchgeführt (Tool aus einem anderen Forum, wo ich aber nichts gepostet habe bzw. werde, kein Crossposting) Ich poste ihn mit im Anhang (Anhänge: "DDS" und "Attatch"), aus dem Grund, dass er vor meinem Scan mit Combofix erfolgte, bei welchem 3 Dateien entfernt wurden (ich war etwas voreilig, der Scan erfolgte bevor ich las, dass man dies nicht ohne Anweisung tun sollte).

Der Scan mit Combofix (erfolgte am 16.01.13 am Ende, nach allen anderen am 16.01.13 ausgeführten Scans) wird ebenfalls im Anhang gepostet.
Die Quarantäne-Datei zeigt folgendes:

Code:
ATTFilter
2013-01-16 15:22:40 . 2013-01-16 15:22:40               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-ETDCtrl.reg.dat
2013-01-16 15:22:39 . 2013-01-16 15:22:39               92 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat
2013-01-16 15:22:29 . 2013-01-16 15:22:29              104 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-Toolbar-Locked.reg.dat
2013-01-16 15:20:29 . 2013-01-16 15:20:29            6,019 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2013-01-16 15:15:59 . 2013-01-16 15:15:59               51 ----a-w-  C:\Qoobox\Quarantine\catchme.log
2013-01-16 11:17:31 . 2013-01-16 14:13:32            1,024 ----a-w-  C:\Qoobox\Quarantine\C\Users\Public\Documents\NTILiveUpdateV9.dll.vir
2013-01-16 11:16:43 . 2013-01-16 14:13:33            1,024 ----a-w-  C:\Qoobox\Quarantine\C\Users\Public\Documents\NTIMMV9Acer.dll.vir
2013-01-16 11:16:43 . 2013-01-16 11:16:43            1,024 ----a-w-  C:\Qoobox\Quarantine\C\Users\Public\Documents\NTIMMV9REGET.dll.vir
         


Mit OTL habe ich inzwischen mehrmals gescannt. Ich poste den ersten Scan vom 20.01.13 siehe Anhang, (nach Neustart, ohne vorher online gegangen zu sein und nach den anderen Antimaleware-Scans, inklusive dem Scan mit Combofix, am 16.01.13).
Nach der Neuinstallation von Windows am 26.01.13 (mit Erhalt der Dateien) habe ich heute (29.01.13) mehrmals mit OTL gescannt. Ich poste den Scan nach dem Onlinegehen (was ich gestern das erste Mal seit der vorletzten Neuinstallation getan habe) und nach allen anderen Scans. Das erste Mal Onlinegehen, ca. 8:25 Uhr) war ein kurzer Test mit Browseraufruf, wobei wie schon erwähnt, Up-und Downloads liefen, jedoch die aufgerufene Internetseite selbst wurde nicht geladen. Ich ging noch einmal (8:42 Uhr) online, nach einem Neustart, wobei ich zudem eine 'Suche' im Windowsexplorer und in der Registry durchführte und den Musicplayer startete, als Test, weil diese Tätigkeiten normalerweise Prozesse in Gang setzten, ein Senden der Logs über meine Aktivitäten einschließend - was ich z.B. bei mehrmaligen Scans mit CC-Cleaner nach dem Onlinegehen (vor dem 16.01.13) gesehen hatte. Zuletzt (ca. 11:50 Uhr) wollte ich Malewarebytes "updaten" was jedoch auch diesmal nicht klappte, wie oben schon erwähnt, da das Internet grundlegend durch "fremde“ Download- und einige Uploadvorgänge geblockt wird (bei weiterem stetigem Downloadfluss anderer Daten ohne mein Zutun, wobei das automatische Update von McAfee ausgeschaltet war). Ok, das automatische Windowsupdate habe ich in diesem Falle nicht berücksichtigt, wobei dies den Internetzugang nicht völlig "blockieren " würde. Ich habe die Probleme ja schon seit langer Zeit, auch während abgestellten Automatischen Updates sowie allen anderen möglichen Ursachen.
Ich wollte nun sowie erst einmal Hilfe in Anspruch nehmen, ehe ich mich mit eigenen versuchen weiter "quäle", denn das hat letztendlich leider absolut nichts gebracht .

Zu guter Letzt der gestrige Scan mit Gmer (wobei es ebenfalls immer noch ausschließlich nur möglich ist, die Häkchen bei Services, Registry und Files zu setzen):

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2013-01-29 10:15:47
Windows 6.1.7601 Service Pack 1 
Running: dglw357d.exe


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e                      
Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)  

---- EOF - GMER 1.0.15 ----
         
Im Rahmen der Bereinigung kann ich also momentan nur über Knoppix online gehen, um Software downzuloaden und hier zu posten, bis mein System ein Onlinegehen wieder zulässt.

Ich hoffe sehr auf Eure Hilfe und sage jetzt schon einmal Danke!

Liebe Grüße,
Lydia33
Angehängte Dateien
Dateityp: 7z Bitdefender Log.7z (69,3 KB, 135x aufgerufen)
Dateityp: 7z Spybot Checks.130101-1757.7z (1,5 KB, 146x aufgerufen)
Dateityp: 7z TDSSKiller.2.8.15.0_16.01.2013_14.00.28_log.7z (23,6 KB, 150x aufgerufen)
Dateityp: 7z Attach.7z (1,9 KB, 137x aufgerufen)
Dateityp: 7z DDS.7z (5,8 KB, 145x aufgerufen)
Dateityp: 7z combofix.7z (5,6 KB, 151x aufgerufen)
Dateityp: 7z OTL 20.01.12.7z (10,3 KB, 131x aufgerufen)
Dateityp: 7z OTL.7z (13,8 KB, 141x aufgerufen)

Alt 30.01.2013, 12:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems





Wer bitte will sich diesen Roman antun?
Kannst du dich bitte etwas kürzer fassen und auf das Wesentlichste bitte beschränken?!
__________________

__________________

Alt 30.01.2013, 19:38   #3
Lydia33
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Hallo,
natürlich kann ich mich kürzer fassen. Der lange Post war nebenbei auch als Art Beweis gedacht, denn ich wurde regelrecht gestalkt. Zudem wollte ich möglichst alle verfügbaren Infos in den Post packen, wohl ein Fehler. Aber ja, es geht wesentlich kürzer.
Ok, seit August weiss ich, dass mein Laptop gehackt wurde und im nachinein weiss ich, dass ich seit über einem Jahr ausspioniert werde. Derjenige wusste welche Seiten ich besuche, welches Hintergrunbild ich nutzte ect. Aufmerksam wurde ich durch einen hinterlassenen Hinweis auf meinem eigenen Amazonaccount durch ihn. Zudem hat er live in mein System eingegriffen (Löschen eines Treibers), um mir Angst zu machen, als ich ihn darauf ansprach. Ich musste mir dann (Ende August) einen neuen Laptop anschaffen, da das DVD Laufwerk des alten streikte usw.
Ich hatte festgestellt dass damals die Maleware per externer Festplatte bzw Usb Stick durch den Wurm WORM/Kido.IX auch auf 2 andere PC's der Familie übertragen wurden. Dort wurde auch in einen Computer eingegriffen und ein wichtiges Dokument gelöscht. Auf einen der beiden PC's (den anderen hatte ich auch gleich formatiert , dort habe ich ein ähnliches Problem wie hier) fand ich ebenfalls mit Free Antivirus APPL/NstallIQ.Gen5 und B]Downloader.Generic10.AGXJ[/B]. Das nur zur Info.

Es geht hier um meinen neu angeschafften Laptop. Für diesen nutzte damals keinerlei der alten USB Sticks, externen Festplatten usw.. Überträger war vielleicht (doch) mein Internetdateinstick, bzw derjenige hat sich anderweitig erneut Zugang in mein System verschafft.

Seit dem Nutzen von Zonelarm Extreme Security im Herbst habe ich bei jedem Onlinegehen Portscans bzw. Versuche, ins System einzudringen, angezeigt bekommen. Danach probierrte ich Bitdefender Total Security 2013 aus. Dazwischen wurde natürlich das System neu aufgesetzt, mit vorherigem Formatieren mit Buke and Nuke. Ich dachte zuerst, ZA sei nach dem Download irgendwie kontaminiert worden. Mit Bitdefender fühlte ich mich dann scheinbar sicher, da ich die Protokolle scheinbar nicht einsehen konnte..

Nach einem Monat (am 30.11.12) hatte ich plötzlich die Anzeige „*32“ an vielen Prozessen, der Computer wurde sehr langsam, wie auch das Internet (Internetzugang war mir nebenbeibemerkt währen der ganzen Zeit nur per langsamen Internetstick möglich). Ich installierte neu, inklusive Formatieren (vor einem erneuten Formatieren und Systemaufsetzen speicherte ich die gefundene Log-Datei (falls diese irgendwo von Interesse ist).

Erneut das nun (das noch einal sauber downgeloadete) ZA nutzend, hörten die Portscans nicht auf. Nach jedem Formatieren (Nullen, sogar 3-fach per DOD Methode) und Systemneuaufsetzen wurde mein System sofort gefunden (trotz höchstem, anonymen Sicherheitmodus) ich hatte sofort bei Einloggen Portscans zu verzeichnen (obwohl ich ebenfalls eine neue Chip Karte mit neuer IP Adresse, falls das überhaupt nötig gewesen wäre, da die IP Adresse sich bei einigen und meinem jetzigen Stick sowieso bei jedem Onlinegang ändert) und ein sehr verlangsamtes System (viele Prozesse liefen sofort nach der Neuinstallation von Windows ab).

Ich nahm nun an, die Recovery DVD's seien mit Maleware kontaminiert, da diese erst 2 Wochen nach Neukauf gebrannt wurden. Daher kaufte ich mir noch einmal neue Recovery DVD's von Acer. Jedoch mit dem gleichen Ergebnis.

Ich konnte nahezu nichts mehr online tun, Es liefen währenddessen viele Up- und Downloadprozesse ab. Die Uploads waren immer erhöht, wenn ich irgendeine Handlung am System vorgenommen hatte.

Ich versuchte die Prozesse selektiv per Zonealarm einzudämmen, nur minimal Programme für das Internet zuzulassen. Dies klappte dann zumindest etwas (bis zum nächsten Neustart) So konnte ich überhaupt z.B. Spybot Search & Destroy downloaden bzw dann einen Online Scan mit Panda Security machen ect..

Mir fiel dann auf, dass die edb.chk Datei in 4 Versionen (u.a. auch in Catroot2 in System32 mit der Größe 8kb) nach jedem Neuinstallieren von Windows als(einziges) wiederhergestelltes Dateifragment vorhanden war. Durch den Anhang *32 und auch durch das versteckte agieren nahm ich an, dass dies etwas damit zu tun hat. Ich hatte über die Möglichkeit solcher Maleware gelesen.
Zu den Funden. Ich hatte niemals Funde mit Malewarebytes (im Moment kann ich die Software leider nicht online aktualisieren, da ich nur per Knoppix online tätig sein kann, auf Windows läd gar nix mehr, trotz laufender Up- und Downloads).

Mit GMER hatte ich die Funde: s.o., der aktuelle Scan von Gmer, wobei ich beim Scan nur die Kästchen Services, Registry und Files mit Häckchen versetzen kann, der Rest ist blockiert) zeigt dieses Resultat:

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)

Durch den Scan mit Spybot (siehe Anhang) habe ich mir selbständig etwas die Registry angeschaut(von der ich vorher nicht wusste, wie ich sie finde) einiges gefunden wie Befehle über das Blockieren von Pandasecurity u.ä. Was ich dann gelöscht hatte. Mir ist jedoch klar, dass nur ein Profi in die Registry eingreifen sollte.

Ich hatte zudem, als ich wie oben beschrieben beim Onlinegehen immer blockiert wurde, auch „von außen“ aktuell neu erstellte Dateien versucht zu löschen, diese wurden dann jedoch bei einem Neustart immer wieder automatisch hergestellt.

Scans mit Zonealarm Extreme Security, Bitdefender Total Security (täglich aktualisiert, niemals etwas angezeigt hatten, sowie auch Scans mit Malewarebytes zeigten wähend der 6 Monate auf meinem neuen Computer niemals Malewarefunde an.

Der Scan am 13.1.13 mit Acive Scan von Panda Security zeigte dieses Ergebnis, die Infektion wurde dann auch gleich online bereinigt.

00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup_mlp.cmd
00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup.cmd

Danach wurde das Systm komplett neu aufgesetzt.
Ich führte sofort (ohne vorheriges Onlinegehen). verschiedene Scans durch.

Mit TDSS Killer (16.1.13) fand ich folgendes (Deteils siehe Anhang):

14:01:28.0939 4260 Detected object count: 1
14:01:28.0939 4260 Actual detected object count: 1
14:02:29.0342 4260 wltrysvc ( UnsignedFile.Multi.Generic ) - skipped by user
14:02:29.0342 4260 wltrysvc ( UnsignedFile.Multi.Generic ) - User select action: Skip
14:02:56.0065 4152 Deinitialize success

Mit PestPatrol fand ich am 16.1.13 folgendes:

16.01.2013-14:03:51,30274546,1343962384, Detected,
AdClicker 1.0,Adware,453094156,ProcessId "2080" File "Ä",-1,
16.01.2013-14:03:52,30274546,1354882384,Detected,
Trojan.Win32.StartPage.fw,Homepage Hijacker,453087046,File "c:\windows\system32\mfplay.dll",-1100155866,

Diese Maleware wurde noch nicht entfernt und ist noch immer vorhanden, trotz Neuaufsetzen von Windows (diesmal, im Gegensatz zu den 20 Malen in den letzten 6 Monaten unter Erhalten von Dateien, am 26.1.13)

Ich habe dann leider mit Combofix gescannt, damals nicht wissend, dass das nicht von Vorteil/nicht erwünscht ist. Ausführlicher Scan im Anhang.

Die Quarantäne-Datei zeigte folgendes an (ganze Log Datei, siehe Anhang)

Code:
ATTFilter
2013-01-16 15:22:40 . 2013-01-16 15:22:40               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-ETDCtrl.reg.dat
2013-01-16 15:22:39 . 2013-01-16 15:22:39               92 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat
2013-01-16 15:22:29 . 2013-01-16 15:22:29              104 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-Toolbar-Locked.reg.dat
2013-01-16 15:20:29 . 2013-01-16 15:20:29            6,019 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2013-01-16 15:15:59 . 2013-01-16 15:15:59               51 ----a-w-  C:\Qoobox\Quarantine\catchme.log
2013-01-16 11:17:31 . 2013-01-16 14:13:32            1,024 ----a-w-  C:\Qoobox\Quarantine\C\Users\Public\Documents\NTILiveUpdateV9.dll.vir
2013-01-16 11:16:43 . 2013-01-16 14:13:33            1,024 ----a-w-  C:\Qoobox\Quarantine\C\Users\Public\Documents\NTIMMV9Acer.dll.vir
2013-01-16 11:16:43 . 2013-01-16 11:16:43            1,024 ----a-w-  C:\Qoobox\Quarantine\C\Users\Public\Documents\NTIMMV9REGET.dll.vir
         
(Am 16.1.13 hatte ich ebenfalls mit dem DDS Tool (aus einem anderen Forum gescannt) falls das irgendwo hilft, da es den Zustand vor dem Scan mit Combofix am gleichen Tag zeigt. Wahrscheinlich wird der Scan aber hier nicht gbraucht, damals hatte ich das OTL Tool noch nicht entdeckt bzw. wusste ich noch nicht,wo ich mein Problem posten möchte.

Mit OTL habe ich einmal am 20.1.13, also nach dem Scan mit Combifix, wo 3 Dateien entfernt wurden.s.o. gescannt. Und zum Vergleich noch einmal am 29.1.13 gescannt (dazwischen die erwähnte Neuinstallation), beide Log_Dateien befinden sich im Anhang.

Der aktuelle Scan mit Gmer:

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2013-01-29 10:15:47
Windows 6.1.7601 Service Pack 1 
Running: dglw357d.exe


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c01885f8f62e                      
Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c01885f8f62e (not active ControlSet)  

---- EOF - GMER 1.0.15 ----
         

Hier noch einmal der Scan mit Malewarebytes (29.01.13):

Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.09.29.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
admin :: ABCD [Administrator]

29.01.2013 10:32:32
mbam-log-2013-01-29 (10-32-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 327204
Laufzeit: 24 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
         

Ich kann zur Zeit nur per Knoppix ins Internet gehen (per Internetstick, also langsame Verbindung). Downloads unter Knoppix sind problemlos möglich , jedoch nicht ein Online-Aktualisieren von Software unter Windows.



Ich hoffe, ihr könnt mir helfen.Danke!
__________________

Geändert von Lydia33 (30.01.2013 um 19:49 Uhr)

Alt 31.01.2013, 10:55   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Sry aber solche Romane tu ich mir nicht an. Nochmal: Beschränke dich bitte auf das Wesentlichste und komm nicht vom Hundertsten ins Tausendste - bis ich deine beiden Postings gelesen und verarbeitet habe hast du ja schneller alles an Daten gesichert und das System sauber neu aufgesetzt!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2013, 09:46   #5
Lydia33
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Ich sage es in einem Satz, ich habe das System bereits 30 Mal neu aufgesetzt. Inklusive Formatieren mit Boot and Nuke (DOD und einfach) Ich bin verzweifelt. Ich bekomme die Maleware nicht los. Ich komme nich mehr ins Internet ausser mit Knoppix, aufgrund der Maleware. Punkt. Danke für die nette Hilfe . Ich bin wirklich hilflos und habe alles in meiner Macht stehende versucht, als Laie.


Alt 01.02.2013, 10:04   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Wenn du wirklich alles geplättet hast auf der Festplatte kann so kein Schädling überleben.
Die Dinger kamen nachträglic hrauf oder du hast richtig dickes Pech, einen Schädling wie mebromi.

So, jetzt weiß ich was Sache ist und kann in deinem Roman gezielt nach Infos suchen

Zitat:
Nach einem Monat (am 30.11.12) hatte ich plötzlich die Anzeige „*32“ an vielen Prozessen,
Und wie kommst du darauf, dass das Malware sein soll? Warum hast du nicht einfach mal danach gegoogelt?
Überleg mal was das *32 nach den Prozessabbildname bedeuten könnte - richtig: ein 32-Bit-Prozess läuft auf einem 64-Bit-Windows

Zitat:
Erneut das nun (das noch einal sauber downgeloadete) ZA nutzend, hörten die Portscans nicht auf. Nach jedem Formatieren (Nullen, sogar 3-fach per DOD Methode) und Systemneuaufsetzen wurde mein System sofort gefunden (trotz höchstem, anonymen Sicherheitmodus) ich hatte sofort bei Einloggen Portscans zu verzeichnen (obwohl ich ebenfalls eine neue Chip Karte mit neuer IP Adresse, falls das überhaupt nötig gewesen wäre, da die IP Adresse sich bei einigen und meinem jetzigen Stick sowieso bei jedem Onlinegang ändert) und ein sehr verlangsamtes System (viele Prozesse liefen sofort nach der Neuinstallation von Windows ab).
Hysterie?
Portscans sind so keine direkten Angriffe aber so eine tolle Spielzeugsoftware wie ZoneAlarm hat damals zumindest den User mit solchen Sinnlosmeldungen überschwemmt, damit ja suggeriert wird wie wichtig so ein Schlangenöl ja sei
Belass es einfach bei der Windows-Firewall, mehr benötigt man nicht

Zitat:
Mir fiel dann auf, dass die edb.chk Datei in 4 Versionen (u.a. auch in Catroot2 in System32 mit der Größe 8kb)
Was bitte hat das mit Malware zu tun??! Du kommst nicht vom Hundertsten ins Tausendst, sondern ins Millionste bei diesen Kleinigkeiten

Zitat:
Mit TDSS Killer (16.1.13) fand ich folgendes (Deteils siehe Anhang):
Schonmal davon gehört, dass die Tools nicht perfekt sind?
Nicht jeder angemeckerte Eintrag bedeutet automatisch "hier ist ein Schädling"



Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in CODE-Tags in den Thread.
__________________
--> Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems

Geändert von cosinus (01.02.2013 um 10:14 Uhr)

Alt 01.02.2013, 12:21   #7
Lydia33
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Hallo Cosinus,

ja, ich habe im Post auch schon gefragt, ob es sich um einen Trojaner im Bios handeln könnte, wovon ich erst vor kurzem gelesen hatte. Ja, ich bin auch davon ausgegangen, dass Maleware solch ein Formatieren nicht überstehen kann. Ich bin absoluter Laie und hatte keine Ahnung von Computern, zudem keinen Experten zur Hand, der mir helfen bzw. mich beraten konnte. Die Funde sind, so nehme ich an, nur Nebeneffekte, kleine Funde. Ich weiss,dass das ganze sehr tief sitzen muss. Derjenige, den ich mir da „angelacht habe“ , welcher mich stalkt, betreibt das ganze wie ich jetzt weiss schon lange, er muss viel Ahnung haben. Er wusste die ganze Zeit über, welche Seiten ich mir im Internet anschaue, welche anonymen Accounts ich mir anlege usw. und hat sich daran geweitet, dass ich ihn nicht los bekomme und er mich sozusagen in der Zange hat. Da ich seine Identität kenne (zudem wohnt er nicht in Deutschland) kann er auch nicht „mehr machen“, trotzdem habe ich keine Beweise gegen ihn, da er sich ja schützt. Zudem interessiert das ja keinen, wenn einen jemand "nur" ausspioniert. Rein technisch habe ich seit Ende November das Problem, dass ich online nichts mehr machen kann, dass sofort nach einem Neuaufsetzen von Windows mein Internet „blockiert“ wird. Ein Eingrenzen der Prozesse und Onlinegehen war nur möglich, indem man so viel wie möglich Prozesse einzeln sperrte (per Zonealarm), zumindest bis zum nächsten Neustart. Onlinegehen konnte ich also, nur dass das Aufrufen von Internetseiten blockiert war und stattdessen andere Up- und Downloadprozesse stattfanden.
Ich bin so ziemlich am Ende, denn das Ganze hat mich über lange Zeit sehr belastet. Ich wollte diesen Menschen endlich los bekommen. Ich bin zur Zeit arbeitslos und gerade dabei mich neu zu orientieren ect. und habe sowieso wenig Geld, vor allem hat das ganze alle meine Aktivitäten und Pläne behindert. Ich habe mir ausschließlich wegen der Sache damals vor 6 Monaten verzweifelt neuen Laptop angeschafft, um mich nun an einem Punkt wiederzufinden, wo ich annehmen muss, dass nun vielleicht nicht einmal eine neue Festplatte etwas bringen würde, um die Maleware los zubekommen bzw, dass selbst ein Profi seine Mühe hätte, mein System wieder zu bereinigen. Mal schauen, ob man etwas erkennen kann.

Code:
ATTFilter
OTL logfile created on: 01.02.2013 10:36:39 - Run 7
OTL by OldTimer - Version 3.2.69.0     Folder = C:\
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
7,84 Gb Total Physical Memory | 6,30 Gb Available Physical Memory | 80,32% Memory free
15,68 Gb Paging File | 13,70 Gb Available in Paging File | 87,39% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 678,54 Gb Total Space | 630,64 Gb Free Space | 92,94% Space Free | Partition Type: NTFS
 
Computer Name: ABCD | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\ProgramData\Mobile Partner\OnlineUpdate\ouc.exe ()
PRC - C:\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Acer\Acer Instant Service\InstantUpdate\iuEmailOutlookAgent.exe ()
PRC - C:\Programme\Acer\Acer Instant Service\InstantUpdate\iuBrowserIEAgent.exe ()
PRC - C:\Program Files (x86)\Launch Manager\LMutilps32.exe (Dritek System Inc.)
PRC - C:\Program Files (x86)\Launch Manager\dsiwmis.exe (Dritek System Inc.)
PRC - C:\Program Files (x86)\Launch Manager\LMworker.exe (Dritek System Inc.)
PRC - C:\Program Files (x86)\Launch Manager\LManager.exe (Dritek System Inc.)
PRC - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\Acer\Registration\GREGsvc.exe (Acer Incorporated)
PRC - C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe (Intel Corporation)
PRC - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation)
PRC - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation)
PRC - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (Intel Corporation)
PRC - C:\Programme\Acer\Acer Updater\UpdaterService.exe (Acer Incorporated)
PRC - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (Intel Corporation)
PRC - C:\Program Files (x86)\NTI\Acer Backup Manager\IScheduleSvc.exe (NTI Corporation)
PRC - C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe (NTI Corporation)
PRC - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Program Files (x86)\CyberLink\MediaEspresso\DeviceDetector\DeviceDetector.exe (CyberLink)
PRC - C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE (Microsoft Corporation)
PRC - C:\ProgramData\DatacardService\DCSHelper.exe (Huawei Technologies Co., Ltd.)
PRC - C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe (Microsoft Corporation)
PRC - C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\4a2815d7d61a799c7bdf6b054dd2d3a1\System.Windows.Forms.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\e81eef9893a3fa2324bae14cac51f1d2\System.Drawing.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System\fac8a4f469c4a89bcff680503e9e75b9\System.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\d13e2f7bf5221f83f7f355698cd8c1a0\mscorlib.ni.dll ()
MOD - C:\Programme\Acer\Acer Instant Service\InstantUpdate\iuEmailOutlookAgent.exe ()
MOD - C:\Programme\Acer\Acer Instant Service\InstantUpdate\iuBrowserIEAgent.exe ()
MOD - C:\Program Files (x86)\NTI\Acer Backup Manager\sqlite3.dll ()
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (wltrysvc) -- C:\Program Files\Broadcom\Broadcom 802.11 Network Adapter\WLTRYSVC.EXE (Broadcom Corporation)
SRV:64bit: - (mfevtp) -- C:\Windows\SysNative\mfevtps.exe (McAfee, Inc.)
SRV:64bit: - (mfefire) -- C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe ()
SRV:64bit: - (McShield) -- C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe ()
SRV:64bit: - (MSK80Service) -- C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV:64bit: - (McProxy) -- C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV:64bit: - (McOobeSv) -- C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV:64bit: - (McNASvc) -- C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV:64bit: - (McNaiAnn) -- C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV:64bit: - (mcmscsvc) -- C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV:64bit: - (McMPFSvc) -- C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV:64bit: - (McAfee SiteAdvisor Service) -- C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe (McAfee, Inc.)
SRV - (Mobile Partner. RunOuc) -- C:\Program Files (x86)\Mobile Partner\UpdateDog\ouc.exe ()
SRV - (FLEXnet Licensing Service) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.)
SRV - (cphs) -- C:\Windows\SysWOW64\IntelCpHeciSvc.exe (Intel Corporation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (DsiWMIService) -- C:\Program Files (x86)\Launch Manager\dsiwmis.exe (Dritek System Inc.)
SRV - (btwdins) -- C:\Programme\WIDCOMM\Bluetooth Software\btwdins.exe (Broadcom Corporation.)
SRV - (nvUpdatusService) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (GREGService) -- C:\Program Files (x86)\Acer\Registration\GREGsvc.exe (Acer Incorporated)
SRV - (UNS) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation)
SRV - (LMS) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation)
SRV - (jhi_service) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (Intel Corporation)
SRV - (ePowerSvc) -- C:\Programme\Acer\Acer ePower Management\ePowerSvc.exe (Acer Incorporated)
SRV - (Live Updater Service) -- C:\Programme\Acer\Acer Updater\UpdaterService.exe (Acer Incorporated)
SRV - (Intel(R) -- C:\Programme\Intel\iCLS Client\HeciServer.exe (Intel(R) Corporation)
SRV - (IAStorDataMgrSvc) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (Intel Corporation)
SRV - (TurboBoost) -- C:\Programme\Intel\TurboBoost\TurboBoost.exe (Intel(R) Corporation)
SRV - (NTI IScheduleSvc) -- C:\Program Files (x86)\NTI\Acer Backup Manager\IScheduleSvc.exe (NTI Corporation)
SRV - (McODS) -- C:\Programme\mcafee\virusscan\mcods.exe (McAfee, Inc.)
SRV - (EgisTec Ticket Service) -- C:\Program Files (x86)\Common Files\EgisTec\Services\EgisTicketService.exe (Egis Technology Inc. )
SRV - (BBSvc) -- C:\Program Files (x86)\Microsoft\BingBar\BBSvc.EXE (Microsoft Corporation.)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (BBUpdate) -- C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE (Microsoft Corporation)
SRV - (wlidsvc) -- C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.)
SRV - (HWDeviceService64.exe) -- C:\ProgramData\DatacardService\HWDeviceService64.exe ()
SRV - (McAWFwk) -- c:\Programme\mcafee\msc\McAWFwk.exe (McAfee, Inc.)
SRV - (GamesAppService) -- C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe (WildTangent, Inc.)
SRV - (wlcrasvc) -- C:\Programme\Windows Live\Mesh\wlcrasvc.exe (Microsoft Corporation)
SRV - (NOBU) -- C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe (Symantec Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (osppsvc) -- C:\Programme\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (Microsoft Corporation)
SRV - (sftvsa) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe (Microsoft Corporation)
SRV - (sftlist) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (ewusbmbb) -- C:\Windows\SysNative\drivers\ewusbwwan.sys (Huawei Technologies Co., Ltd.)
DRV:64bit: - (hwdatacard) -- C:\Windows\SysNative\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.)
DRV:64bit: - (ew_hwusbdev) -- C:\Windows\SysNative\drivers\ew_hwusbdev.sys (Huawei Technologies Co., Ltd.)
DRV:64bit: - (huawei_enumerator) -- C:\Windows\SysNative\drivers\ew_jubusenum.sys (Huawei Technologies Co., Ltd.)
DRV:64bit: - (BCM42RLY) -- C:\Windows\SysNative\drivers\bcm42rly.sys (Broadcom Corporation)
DRV:64bit: - (BCM43XX) -- C:\Windows\SysNative\drivers\BCMWL664.SYS (Broadcom Corporation)
DRV:64bit: - (BcmVWL) -- C:\Windows\SysNative\drivers\bcmvwl64.sys (Broadcom Corporation)
DRV:64bit: - (bScsiSDa) -- C:\Windows\SysNative\drivers\bScsiSDa.sys (Broadcom Corporation)
DRV:64bit: - (mwlPSDVDisk) -- C:\Windows\SysNative\drivers\mwlPSDVDisk.sys (Egis Technology Inc.)
DRV:64bit: - (mwlPSDFilter) -- C:\Windows\SysNative\drivers\mwlPSDFilter.sys (Egis Technology Inc.)
DRV:64bit: - (mwlPSDNServ) -- C:\Windows\SysNative\drivers\mwlPSDNserv.sys (Egis Technology Inc.)
DRV:64bit: - (igfx) -- C:\Windows\SysNative\drivers\igdkmd64.sys (Intel Corporation)
DRV:64bit: - (btwampfl) -- C:\Windows\SysNative\drivers\btwampfl.sys (Broadcom Corporation.)
DRV:64bit: - (bcbtums) -- C:\Windows\SysNative\drivers\bcbtums.sys (Broadcom Corporation.)
DRV:64bit: - (btwavdt) -- C:\Windows\SysNative\drivers\btwavdt.sys (Broadcom Corporation.)
DRV:64bit: - (btwaudio) -- C:\Windows\SysNative\drivers\btwaudio.sys (Broadcom Corporation.)
DRV:64bit: - (btwl2cap) -- C:\Windows\SysNative\drivers\btwl2cap.sys (Broadcom Corporation.)
DRV:64bit: - (btwrchid) -- C:\Windows\SysNative\drivers\btwrchid.sys (Broadcom Corporation.)
DRV:64bit: - (nvpciflt) -- C:\Windows\SysNative\drivers\nvpciflt.sys (NVIDIA Corporation)
DRV:64bit: - (ETD) -- C:\Windows\SysNative\drivers\ETD.sys (ELAN Microelectronics Corp.)
DRV:64bit: - (iusb3xhc) -- C:\Windows\SysNative\drivers\iusb3xhc.sys (Intel Corporation)
DRV:64bit: - (iusb3hub) -- C:\Windows\SysNative\drivers\iusb3hub.sys (Intel Corporation)
DRV:64bit: - (iusb3hcs) -- C:\Windows\SysNative\drivers\iusb3hcs.sys (Intel Corporation)
DRV:64bit: - (mfehidk) -- C:\Windows\SysNative\drivers\mfehidk.sys (McAfee, Inc.)
DRV:64bit: - (mfefirek) -- C:\Windows\SysNative\drivers\mfefirek.sys (McAfee, Inc.)
DRV:64bit: - (mfewfpk) -- C:\Windows\SysNative\drivers\mfewfpk.sys (McAfee, Inc.)
DRV:64bit: - (mfeavfk) -- C:\Windows\SysNative\drivers\mfeavfk.sys (McAfee, Inc.)
DRV:64bit: - (mfeapfk) -- C:\Windows\SysNative\drivers\mfeapfk.sys (McAfee, Inc.)
DRV:64bit: - (mferkdet) -- C:\Windows\SysNative\drivers\mferkdet.sys (McAfee, Inc.)
DRV:64bit: - (mfenlfk) -- C:\Windows\SysNative\drivers\mfenlfk.sys (McAfee, Inc.)
DRV:64bit: - (cfwids) -- C:\Windows\SysNative\drivers\cfwids.sys (McAfee, Inc.)
DRV:64bit: - (NTIDrvr) -- C:\Windows\SysNative\drivers\NTIDrvr.sys (NTI Corporation)
DRV:64bit: - (UBHelper) -- C:\Windows\SysNative\drivers\UBHelper.sys (NTI Corporation)
DRV:64bit: - (iaStor) -- C:\Windows\SysNative\drivers\iaStor.sys (Intel Corporation)
DRV:64bit: - (TurboB) -- C:\Windows\SysNative\drivers\TurboB.sys (Intel(R) Corporation)
DRV:64bit: - (k57nd60a) -- C:\Windows\SysNative\drivers\k57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (IntcDAud) -- C:\Windows\SysNative\drivers\IntcDAud.sys (Intel(R) Corporation)
DRV:64bit: - (MEIx64) -- C:\Windows\SysNative\drivers\HECIx64.sys (Intel Corporation)
DRV:64bit: - (b57xdmp) -- C:\Windows\SysNative\drivers\b57xdmp.sys (Broadcom Corporation)
DRV:64bit: - (b57xdbd) -- C:\Windows\SysNative\drivers\b57xdbd.sys (Broadcom Corporation)
DRV:64bit: - (bScsiMSa) -- C:\Windows\SysNative\drivers\bScsiMSa.sys (Broadcom Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (sdbus) -- C:\Windows\SysNative\drivers\sdbus.sys (Microsoft Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (TsUsbGD) -- C:\Windows\SysNative\drivers\TsUsbGD.sys (Microsoft Corporation)
DRV:64bit: - (Sftvol) -- C:\Windows\SysNative\drivers\Sftvollh.sys (Microsoft Corporation)
DRV:64bit: - (Sftredir) -- C:\Windows\SysNative\drivers\Sftredirlh.sys (Microsoft Corporation)
DRV:64bit: - (Sftplay) -- C:\Windows\SysNative\drivers\Sftplaylh.sys (Microsoft Corporation)
DRV:64bit: - (Sftfs) -- C:\Windows\SysNative\drivers\Sftfslh.sys (Microsoft Corporation)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://acer.msn.com
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://acer.msn.com
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://acer.msn.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://acer.msn.com
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-3585724937-3367876355-718473374-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-3585724937-3367876355-718473374-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://acer.msn.com
IE - HKU\S-1-5-21-3585724937-3367876355-718473374-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://acer.msn.com
IE - HKU\S-1-5-21-3585724937-3367876355-718473374-1001\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\progra~2\mcafee\sitead~1\mcieplg.dll (McAfee, Inc.)
IE - HKU\S-1-5-21-3585724937-3367876355-718473374-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3585724937-3367876355-718473374-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF:64bit: - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL ()
FF - HKLM\Software\MozillaPlugins\@intel-webapi.intel.com/Intel WebAPI ipt;version=2.0.59: C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation)
FF - HKLM\Software\MozillaPlugins\@intel-webapi.intel.com/Intel WebAPI updater: C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation)
FF - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\progra~2\mcafee\msc\npmcsn~1.dll ()
FF - HKLM\Software\MozillaPlugins\@mcafee.com/SAFFPlugin: C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~4\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@WildTangent.com/GamesAppPresenceDetector,Version=1.0: C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll ()
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{4ED1F68A-5463-4931-9384-8FFF5ED91D92}: C:\Program Files (x86)\McAfee\SiteAdvisor [2013.01.29 08:22:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Program Files (x86)\Common Files\McAfee\SystemCore [2013.01.26 14:40:55 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\Common Files\mcafee\systemcore\ScriptSn.20120419103556.dll (McAfee, Inc.)
O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O2:64bit: - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120419103557.dll (McAfee, Inc.)
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\progra~2\mcafee\sitead~1\mcieplg.dll (McAfee, Inc.)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3:64bit: - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\progra~2\mcafee\sitead~1\mcieplg.dll (McAfee, Inc.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [Broadcom Wireless Manager UI] C:\Programme\Broadcom\Broadcom 802.11 Network Adapter\WLTRAY.EXE (Broadcom Corporation)
O4:64bit: - HKLM..\Run: [ETDCtrl] C:\Programme\Elantech\ETDCtrl.exe (ELAN Microelectronics Corp.)
O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [InstantUpdate] C:\Programme\Acer\Acer Instant Service\InstantUpdate\iuDaemon.exe ()
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [Power Management] C:\Programme\Acer\Acer ePower Management\ePowerTray.exe (Acer Incorporated)
O4:64bit: - HKLM..\Run: [RtHDVBg_Dolby] C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (Realtek Semiconductor)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [BackupManagerTray] C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe (NTI Corporation)
O4 - HKLM..\Run: [Dolby Home Theater v4] C:\Dolby PCEE4\pcee4.exe (Dolby Laboratories Inc.)
O4 - HKLM..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [mcui_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [Norton Online Backup] C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuClient.exe (Symantec Corporation)
O4 - HKLM..\Run: [SuiteTray] C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe (Egis Technology Inc.)
O4 - HKLM..\Run: [USB3MON] C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe (Intel Corporation)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-3585724937-3367876355-718473374-1000..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-3585724937-3367876355-718473374-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-3585724937-3367876355-718473374-1000..\RunOnce: [ScrSav] C:\Program Files (x86)\Acer\Screensaver\run_Acer.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\S-1-5-21-3585724937-3367876355-718473374-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: @C:\Program Files (x86)\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041)
O9 - Extra 'Tools' menuitem : @C:\Program Files (x86)\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000008 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{585ECA47-060C-4D13-82E1-D75D63E5E03B}: NameServer = 193.189.244.225 193.189.244.206
O18:64bit: - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\progra~2\mcafee\sitead~1\mcieplg.dll (McAfee, Inc.)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\progra~2\mcafee\sitead~1\mcieplg.dll (McAfee, Inc.)
O18:64bit: - Protocol\Filter\application/x-mfe-ipt {3EF5086B-5478-4598-A054-786C45D75692} - c:\Programme\mcafee\msc\McSnIePl64.dll (McAfee, Inc.)
O18 - Protocol\Filter\application/x-mfe-ipt {3EF5086B-5478-4598-A054-786C45D75692} - c:\progra~2\mcafee\msc\mcsniepl.dll (McAfee, Inc.)
O20:64bit: - AppInit_DLLs: (C:\Windows\system32\nvinitx.dll) - C:\Windows\SysNative\nvinitx.dll (NVIDIA Corporation)
O20 - AppInit_DLLs: (C:\Windows\SysWOW64\nvinit.dll) - C:\Windows\SysWOW64\nvinit.dll (NVIDIA Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\Windows\SysNative\igfxdev.dll (Intel Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{6e2d9ac1-69e2-11e2-8e45-c01885f8f62d}\Shell - "" = AutoRun
O33 - MountPoints2\{6e2d9ac1-69e2-11e2-8e45-c01885f8f62d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{7e1ffa26-6852-11e2-b72a-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{7e1ffa26-6852-11e2-b72a-806e6f6e6963}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{b093bfbf-67c4-11e2-aa5f-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{b093bfbf-67c4-11e2-aa5f-806e6f6e6963}\Shell\AutoRun\command - "" = D:\autorun.bat
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.01 10:31:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee
[2013.01.29 17:34:52 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\SoftGrid Client
[2013.01.29 17:34:51 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\SoftGrid Client
[2013.01.29 17:34:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office Starter (Deutsch)
[2013.01.29 17:34:11 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Office
[2013.01.29 17:34:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\DESIGNER
[2013.01.29 17:34:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft Application Virtualization Client
[2013.01.29 17:33:57 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\TP
[2013.01.29 09:39:56 | 016,409,960 | R--- | C] (Safer Networking Limited                                    ) -- C:\spybotsd162 (1).exe
[2013.01.29 09:39:32 | 013,817,216 | R--- | C] (Computer Associates International, Inc.                     ) -- C:\pptrialr8.exe
[2013.01.29 09:38:44 | 004,178,040 | R--- | C] (Piriform Ltd) -- C:\ccsetup326.exe
[2013.01.29 09:38:35 | 010,669,952 | R--- | C] (Malwarebytes Corporation                                    ) -- C:\mbam-setup-1.65.1.1000.exe
[2013.01.29 09:36:53 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Malwarebytes
[2013.01.29 09:36:49 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.01.29 09:36:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.01.29 09:36:49 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2013.01.29 09:36:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.01.29 09:33:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip
[2013.01.29 09:33:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\7-Zip
[2013.01.29 07:55:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mobile Partner
[2013.01.29 07:55:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Mobile Partner
[2013.01.29 07:55:05 | 001,490,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\WdfCoInstaller01007.dll
[2013.01.29 07:55:05 | 001,490,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\WdfCoInstaller01007.dll
[2013.01.29 07:55:05 | 001,001,472 | ---- | C] (DiBcom SA) -- C:\Windows\SysNative\drivers\mod7700.sys
[2013.01.29 07:55:05 | 000,421,376 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ewusbwwan.sys
[2013.01.29 07:55:05 | 000,222,464 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ewusbmdm.sys
[2013.01.29 07:55:05 | 000,212,992 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_juwwanecm.sys
[2013.01.29 07:55:05 | 000,117,248 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_hwusbdev.sys
[2013.01.29 07:55:05 | 000,098,816 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_jucdcacm.sys
[2013.01.29 07:55:05 | 000,086,016 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_jubusenum.sys
[2013.01.29 07:55:05 | 000,069,632 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_jucdcecm.sys
[2013.01.29 07:55:05 | 000,032,768 | ---- | C] (Huawei Tech. Co., Ltd.) -- C:\Windows\SysNative\drivers\ewdcsc.sys
[2013.01.29 07:55:05 | 000,028,672 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_juextctrl.sys
[2013.01.29 07:55:05 | 000,022,016 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_hwupgrade.sys
[2013.01.29 07:55:05 | 000,013,952 | ---- | C] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_usbenumfilter.sys
[2013.01.29 07:54:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mobile Partner
[2013.01.29 07:54:34 | 000,000,000 | ---D | C] -- C:\ProgramData\DatacardService
[2013.01.27 09:51:44 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Adobe
[2013.01.27 09:10:32 | 001,538,560 | ---- | C] (Irfan Skiljan) -- C:\iview433_setup.exe
[2013.01.27 08:36:07 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\ImgBurn
[2013.01.27 08:34:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ImgBurn
[2013.01.27 08:34:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ImgBurn
[2013.01.26 23:36:54 | 000,000,000 | ---D | C] -- C:\Windows\de-DE
[2013.01.26 23:36:53 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\XPSViewer
[2013.01.26 23:36:53 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\drivers\de-DE
[2013.01.26 23:36:53 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\de
[2013.01.26 23:36:53 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\0407
[2013.01.26 23:36:50 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\drivers\de-DE
[2013.01.26 23:36:50 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\de
[2013.01.26 23:36:50 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\0407
[2013.01.26 23:36:32 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\usbrpm.sys.mui
[2013.01.26 23:36:28 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\fvevol.sys.mui
[2013.01.26 23:36:14 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\qwavedrv.sys.mui
[2013.01.26 23:36:12 | 000,017,408 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\nwifi.sys.mui
[2013.01.26 23:36:12 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\qwavedrv.sys.mui
[2013.01.26 23:36:09 | 000,028,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\volsnap.sys.mui
[2013.01.26 23:36:09 | 000,025,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\usbport.sys.mui
[2013.01.26 23:36:09 | 000,020,992 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\processr.sys.mui
[2013.01.26 23:36:09 | 000,020,992 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\intelppm.sys.mui
[2013.01.26 23:36:09 | 000,020,992 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\amdppm.sys.mui
[2013.01.26 23:36:09 | 000,020,992 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\amdk8.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\usbhub.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\serial.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ohci1394.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\1394ohci.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | C] (Brother Industries Ltd.) -- C:\Windows\SysNative\drivers\de-DE\BrSerId.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | C] (Brother Industries Ltd.) -- C:\Windows\SysNative\drivers\de-DE\BrSerIb.sys.mui
[2013.01.26 23:36:09 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\i8042prt.sys.mui
[2013.01.26 23:36:09 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\acpi.sys.mui
[2013.01.26 23:36:09 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\battc.sys.mui
[2013.01.26 23:36:09 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\pci.sys.mui
[2013.01.26 23:36:09 | 000,006,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\IPMIDrv.sys.mui
[2013.01.26 23:36:09 | 000,005,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\sermouse.sys.mui
[2013.01.26 23:36:09 | 000,005,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\kbdclass.sys.mui
[2013.01.26 23:36:09 | 000,004,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\vdrvroot.sys.mui
[2013.01.26 23:36:09 | 000,004,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mouclass.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\wacompen.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\vhdmp.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\tpm.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\isapnp.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\hdaudbus.sys.mui
[2013.01.26 23:36:09 | 000,003,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\parport.sys.mui
[2013.01.26 23:36:09 | 000,003,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ataport.sys.mui
[2013.01.26 23:36:09 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\umbus.sys.mui
[2013.01.26 23:36:09 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mssmbios.sys.mui
[2013.01.26 23:36:09 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mouhid.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\vwifibus.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ULIAGPKX.SYS.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\UAGP35.SYS.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\NV_AGP.SYS.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\MTConfig.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\kbdhid.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\GAGP30KX.SYS.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\disk.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\AGP440.sys.mui
[2013.01.26 23:36:09 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\wd.sys.mui
[2013.01.26 23:36:09 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\cdrom.sys.mui
[2013.01.26 23:36:09 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\amdide.sys.mui
[2013.01.26 23:36:07 | 000,038,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mpio.sys.mui
[2013.01.26 23:36:07 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\bthport.sys.mui
[2013.01.26 23:36:07 | 000,007,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\msdsm.sys.mui
[2013.01.26 23:36:07 | 000,004,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\pcmcia.sys.mui
[2013.01.26 23:36:07 | 000,004,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\bthpan.sys.mui
[2013.01.26 23:36:07 | 000,004,096 | ---- | C] (SCM Microsystems, Inc.) -- C:\Windows\SysNative\drivers\de-DE\pscr.sys.mui
[2013.01.26 23:36:07 | 000,003,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\tsusbflt.sys.mui
[2013.01.26 23:36:07 | 000,003,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\portcls.sys.mui
[2013.01.26 23:36:07 | 000,003,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\HdAudio.sys.mui
[2013.01.26 23:36:07 | 000,003,584 | ---- | C] (ATI Technologies Inc.) -- C:\Windows\SysNative\drivers\de-DE\atikmdag.sys.mui
[2013.01.26 23:36:07 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\serscan.sys.mui
[2013.01.26 23:36:07 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\rndismpx.sys.mui
[2013.01.26 23:36:07 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\rndismp6.sys.mui
[2013.01.26 23:36:07 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\hidbth.sys.mui
[2013.01.26 23:36:07 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\pnpmem.sys.mui
[2013.01.26 23:36:07 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\Dot4usb.sys.mui
[2013.01.26 23:36:07 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\BTHUSB.SYS.mui
[2013.01.26 23:36:07 | 000,002,560 | ---- | C] (Brother Industries Ltd.) -- C:\Windows\SysNative\drivers\de-DE\BrParwdm.sys.mui
[2013.01.26 23:36:07 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ws2ifsl.sys.mui
[2013.01.26 23:36:07 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\bthenum.sys.mui
[2013.01.26 23:36:06 | 000,051,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\tcpip.sys.mui
[2013.01.26 23:36:04 | 000,016,896 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\pacer.sys.mui
[2013.01.26 23:36:04 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\rdpwd.sys.mui
[2013.01.26 23:36:03 | 000,029,696 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\bfe.dll.mui
[2013.01.26 23:36:02 | 000,003,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\modem.sys.mui
[2013.01.26 23:36:02 | 000,003,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ipnat.sys.mui
[2013.01.26 23:36:01 | 000,016,896 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\afd.sys.mui
[2013.01.26 23:36:01 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\volmgrx.sys.mui
[2013.01.26 23:35:59 | 000,072,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ntfs.sys.mui
[2013.01.26 23:35:59 | 000,009,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\tunnel.sys.mui
[2013.01.26 23:35:59 | 000,007,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\luafv.sys.mui
[2013.01.26 23:35:59 | 000,005,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\ndiscap.sys.mui
[2013.01.26 23:35:59 | 000,005,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\rdbss.sys.mui
[2013.01.26 23:35:59 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\srv.sys.mui
[2013.01.26 23:35:59 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\scfilter.sys.mui
[2013.01.26 23:35:57 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ndisuio.sys.mui
[2013.01.26 23:35:57 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\partmgr.sys.mui
[2013.01.26 23:35:57 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mountmgr.sys.mui
[2013.01.26 23:35:46 | 000,005,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ndiscap.sys.mui
[2013.01.26 23:35:46 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\RNDISMP.sys.mui
[2013.01.26 23:35:45 | 000,051,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\tcpip.sys.mui
[2013.01.26 23:35:45 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\scfilter.sys.mui
[2013.01.26 23:35:44 | 000,041,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ndis.sys.mui
[2013.01.26 23:35:44 | 000,005,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\fltmgr.sys.mui
[2013.01.26 23:35:44 | 000,002,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\wdf01000.sys.mui
[2013.01.26 23:35:43 | 000,003,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\scsiport.sys.mui
[2013.01.26 23:35:42 | 000,044,032 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\http.sys.mui
[2013.01.26 23:35:42 | 000,029,696 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\bfe.dll.mui
[2013.01.26 23:35:42 | 000,016,896 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\pacer.sys.mui
[2013.01.26 23:33:29 | 000,000,000 | ---D | C] -- C:\Windows\NAPP_Dism_Log
[2013.01.26 22:56:09 | 000,000,000 | ---D | C] -- C:\Backup
[2013.01.26 16:32:21 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\EgisTec IPS
[2013.01.26 16:26:59 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Screensaver
[2013.01.26 16:26:44 | 000,000,000 | R--D | C] -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[2013.01.26 16:26:44 | 000,000,000 | R--D | C] -- C:\Users\admin\Searches
[2013.01.26 16:26:44 | 000,000,000 | R--D | C] -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2013.01.26 16:26:36 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Identities
[2013.01.26 16:26:34 | 000,000,000 | R--D | C] -- C:\Users\admin\Contacts
[2013.01.26 16:23:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\OEM
[2013.01.26 16:23:29 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kobo
[2013.01.26 16:23:22 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\VirtualStore
[2013.01.26 16:23:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Kobo
[2013.01.26 16:22:55 | 000,000,000 | ---D | C] -- C:\Program Files\Accessory Store
[2013.01.26 16:22:38 | 000,000,000 | ---D | C] -- C:\Program Files\Preload
[2013.01.26 16:22:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Family Protection
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Vorlagen
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\AppData\Local\Verlauf
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\AppData\Local\Temporary Internet Files
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Startmenü
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\SendTo
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Recent
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Netzwerkumgebung
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Lokale Einstellungen
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Documents\Eigene Videos
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Documents\Eigene Musik
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Eigene Dateien
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Documents\Eigene Bilder
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Druckumgebung
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Cookies
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\AppData\Local\Anwendungsdaten
[2013.01.26 16:22:19 | 000,000,000 | -HSD | C] -- C:\Users\admin\Anwendungsdaten
[2013.01.26 16:22:17 | 000,000,000 | --SD | C] -- C:\Users\admin\AppData\Roaming\Microsoft
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\Videos
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\Saved Games
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\Pictures
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\Music
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\Links
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\Favorites
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\Downloads
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\Documents
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\Desktop
[2013.01.26 16:22:17 | 000,000,000 | R--D | C] -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
[2013.01.26 16:22:17 | 000,000,000 | -H-D | C] -- C:\Users\admin\AppData
[2013.01.26 16:22:17 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\Temp
[2013.01.26 16:22:17 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\Microsoft
[2013.01.26 16:22:17 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Media Center Programs
[2013.01.26 16:22:17 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Macromedia
[2013.01.26 16:21:53 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
[2013.01.26 16:21:53 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
[2013.01.26 16:21:53 | 000,000,000 | -HSD | C] -- C:\Recovery
[2013.01.26 16:21:53 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien
[2013.01.26 16:21:53 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
[2013.01.26 16:21:53 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
[2013.01.26 16:21:53 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
[2013.01.26 16:21:52 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
[2013.01.26 16:21:52 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
[2013.01.26 16:21:52 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
[2013.01.26 15:40:12 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam
[2013.01.26 15:37:36 | 000,000,000 | ---D | C] -- C:\ProgramData\CLSK
[2013.01.26 15:37:18 | 000,000,000 | ---D | C] -- C:\ProgramData\install_clap
[2013.01.26 15:37:12 | 000,000,000 | ---D | C] -- C:\ProgramData\CyberLink
[2013.01.26 15:36:35 | 000,000,000 | ---D | C] -- C:\ProgramData\NTI Launcher
[2013.01.26 15:36:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NTI Media Maker 9
[2013.01.26 15:34:51 | 000,000,000 | ---D | C] -- C:\ProgramData\FLEXnet
[2013.01.26 15:34:49 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Macrovision Shared
[2013.01.26 15:33:20 | 000,000,000 | ---D | C] -- C:\Windows\OEMTemp
[2013.01.26 15:33:02 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft Office
[2013.01.26 15:33:01 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Intel Corporation
[2013.01.26 15:30:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft
[2013.01.26 15:29:27 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\NV
[2013.01.26 15:29:27 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\NV
[2013.01.26 15:27:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Cisco
[2013.01.26 15:25:37 | 001,047,552 | ---- | C] (Broadcom Corporation) -- C:\Windows\SysNative\BCMLogon.dll
[2013.01.26 15:25:25 | 000,035,344 | ---- | C] (CACE Technologies, Inc.) -- C:\Windows\SysNative\drivers\npf.sys
[2013.01.26 15:25:24 | 004,961,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\vcredist_x64.exe
[2013.01.26 15:25:24 | 000,022,592 | ---- | C] (Broadcom Corporation) -- C:\Windows\SysNative\drivers\bcm42rly.sys
[2013.01.26 15:25:23 | 004,659,712 | ---- | C] (Broadcom Corporation) -- C:\Windows\SysNative\bcmttls.dll
[2013.01.26 15:25:23 | 003,161,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vcredist_x64.exe
[2013.01.26 15:25:23 | 000,073,728 | ---- | C] (Broadcom Corporation) -- C:\Windows\SysNative\wltrynt.dll
[2013.01.26 15:25:17 | 003,617,792 | ---- | C] (Broadcom Corporation) -- C:\Windows\SysNative\bcmihvui64.dll
[2013.01.26 15:25:17 | 000,095,544 | ---- | C] (Broadcom Corporation) -- C:\Windows\SysNative\bcmwlcoi.dll
[2013.01.26 15:25:15 | 004,746,304 | ---- | C] (Broadcom Corporation) -- C:\Windows\SysNative\drivers\BCMWL664.SYS
[2013.01.26 15:25:15 | 003,952,640 | ---- | C] (Broadcom Corporation) -- C:\Windows\SysNative\bcmihvsrv64.dll
[2013.01.26 15:25:09 | 000,021,568 | ---- | C] (Broadcom Corporation) -- C:\Windows\SysNative\drivers\bcmvwl64.sys
[2013.01.26 15:18:34 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft.NET
[2013.01.26 15:17:16 | 000,594,472 | ---- | C] (Broadcom Corporation.) -- C:\Windows\SysNative\drivers\btwampfl.sys
[2013.01.26 15:16:13 | 000,210,984 | ---- | C] (Broadcom Corporation.) -- C:\Windows\SysNative\drivers\btwavdt.sys
[2013.01.26 15:16:13 | 000,184,872 | ---- | C] (Broadcom Corporation.) -- C:\Windows\SysNative\drivers\btwaudio.sys
[2013.01.26 15:16:13 | 000,163,368 | ---- | C] (Broadcom Corporation.) -- C:\Windows\SysNative\drivers\bcbtums.sys
[2013.01.26 15:16:13 | 000,039,976 | ---- | C] (Broadcom Corporation.) -- C:\Windows\SysNative\drivers\btwl2cap.sys
[2013.01.26 15:16:13 | 000,021,544 | ---- | C] (Broadcom Corporation.) -- C:\Windows\SysNative\drivers\btwrchid.sys
[2013.01.26 15:15:38 | 000,000,000 | ---D | C] -- C:\Program Files\WIDCOMM
[2013.01.26 15:13:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dolby
[2013.01.26 15:13:38 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\RTCOM
[2013.01.26 15:13:17 | 000,000,000 | ---D | C] -- C:\Program Files\Realtek
[2013.01.26 15:13:14 | 002,603,864 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\WavesGUILib.dll
[2013.01.26 15:13:14 | 000,155,888 | ---- | C] (SRS Labs, Inc.) -- C:\Windows\SysNative\SRSWOW64.dll
[2013.01.26 15:13:13 | 000,518,896 | ---- | C] (SRS Labs, Inc.) -- C:\Windows\SysNative\SRSTSX64.dll
[2013.01.26 15:13:13 | 000,211,184 | ---- | C] (SRS Labs, Inc.) -- C:\Windows\SysNative\SRSTSH64.dll
[2013.01.26 15:13:13 | 000,198,896 | ---- | C] (SRS Labs, Inc.) -- C:\Windows\SysNative\SRSHP64.dll
[2013.01.26 15:13:10 | 001,560,168 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RTSnMg64.cpl
[2013.01.26 15:13:10 | 000,221,024 | ---- | C] (Synopsys, Inc.) -- C:\Windows\SysNative\SFNHK64.dll
[2013.01.26 15:13:10 | 000,220,776 | ---- | C] (Sony Corporation) -- C:\Windows\SysNative\SFSS_APO.dll
[2013.01.26 15:13:10 | 000,081,248 | ---- | C] (Synopsys, Inc.) -- C:\Windows\SysNative\SFCOM64.dll
[2013.01.26 15:13:10 | 000,078,688 | ---- | C] (Synopsys, Inc.) -- C:\Windows\SysNative\SFAPO64.dll
[2013.01.26 15:13:10 | 000,074,064 | ---- | C] (Virage Logic Corporation / Sonic Focus) -- C:\Windows\SysWow64\SFCOM.dll
[2013.01.26 15:13:09 | 003,747,944 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RtkAPO64.dll
[2013.01.26 15:13:09 | 002,615,400 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RtPgEx64.dll
[2013.01.26 15:13:09 | 000,823,912 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RtkApi64.dll
[2013.01.26 15:13:09 | 000,376,936 | ---- | C] (Realtek Semiconductor) -- C:\Windows\SysNative\RtkGuiCompLib.dll
[2013.01.26 15:13:09 | 000,375,128 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEEP64A.dll
[2013.01.26 15:13:09 | 000,331,880 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RtlCPAPI64.dll
[2013.01.26 15:13:09 | 000,204,120 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEED64A.dll
[2013.01.26 15:13:09 | 000,149,608 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RtkCfg64.dll
[2013.01.26 15:13:09 | 000,101,208 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEEL64A.dll
[2013.01.26 15:13:09 | 000,078,680 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEEG64A.dll
[2013.01.26 15:13:09 | 000,014,952 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RtkCoLDR64.dll
[2013.01.26 15:13:08 | 002,765,312 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RCoRes64.dat
[2013.01.26 15:13:08 | 001,247,848 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RTCOM64.dll
[2013.01.26 15:13:08 | 000,310,104 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RP3DHT64.dll
[2013.01.26 15:13:08 | 000,310,104 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RP3DAA64.dll
[2013.01.26 15:13:07 | 000,100,968 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\SysNative\RCoInstII64.dll
[2013.01.26 15:13:06 | 003,308,376 | ---- | C] (Dolby Laboratories) -- C:\Windows\SysNative\R4EEP64A.dll
[2013.01.26 15:13:06 | 000,426,328 | ---- | C] (Dolby Laboratories) -- C:\Windows\SysNative\R4EED64A.dll
[2013.01.26 15:13:06 | 000,136,024 | ---- | C] (Dolby Laboratories) -- C:\Windows\SysNative\R4EEL64A.dll
[2013.01.26 15:13:06 | 000,118,104 | ---- | C] (Dolby Laboratories) -- C:\Windows\SysNative\R4EEA64A.dll
[2013.01.26 15:13:06 | 000,074,072 | ---- | C] (Dolby Laboratories) -- C:\Windows\SysNative\R4EEG64A.dll
[2013.01.26 15:13:05 | 005,996,376 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\MaxxAudioRealtek.dll
[2013.01.26 15:13:05 | 002,131,288 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\MaxxAudioEQ.dll
[2013.01.26 15:13:05 | 001,247,576 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\MaxxAudioRealtek264.dll
[2013.01.26 15:13:05 | 000,955,736 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\MaxxAudioAPOShell64.dll
[2013.01.26 15:13:05 | 000,341,336 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\MaxxAudioAPO30.dll
[2013.01.26 15:13:05 | 000,334,680 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\MaxxVolumeSDAPO.dll
[2013.01.26 15:13:05 | 000,318,808 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\MaxxAudioAPO20.dll
[2013.01.26 15:13:01 | 002,528,832 | ---- | C] (Fortemedia Corporation) -- C:\Windows\SysNative\FMAPO64.dll
[2013.01.26 15:13:01 | 001,756,264 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSS2SpeakerDLL64.dll
[2013.01.26 15:13:01 | 001,568,360 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSS2HeadphoneDLL64.dll
[2013.01.26 15:13:01 | 001,486,952 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSBoostDLL64.dll
[2013.01.26 15:13:01 | 000,728,680 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSBassEnhancementDLL64.dll
[2013.01.26 15:13:01 | 000,712,296 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSSymmetryDLL64.dll
[2013.01.26 15:13:01 | 000,693,352 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSVoiceClarityDLL64.dll
[2013.01.26 15:13:01 | 000,491,112 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSNeoPCDLL64.dll
[2013.01.26 15:13:01 | 000,432,744 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSLimiterDLL64.dll
[2013.01.26 15:13:01 | 000,428,648 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSGainCompensatorDLL64.dll
[2013.01.26 15:13:01 | 000,242,792 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSLFXAPO64.dll
[2013.01.26 15:13:01 | 000,242,792 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSGFXAPO64.dll
[2013.01.26 15:13:01 | 000,241,768 | ---- | C] (DTS) -- C:\Windows\SysNative\DTSGFXAPONS64.dll
[2013.01.26 15:13:01 | 000,108,960 | ---- | C] (Andrea Electronics Corporation) -- C:\Windows\SysNative\AERTAR64.dll
[2013.01.26 15:13:00 | 000,200,800 | ---- | C] (Andrea Electronics Corporation) -- C:\Windows\SysNative\AERTAC64.dll
[2013.01.26 15:13:00 | 000,000,000 | -H-D | C] -- C:\Program Files (x86)\Temp
[2013.01.26 15:13:00 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Realtek
[2013.01.26 15:12:59 | 001,698,408 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Windows\RtlExUpd.dll
[2013.01.26 15:12:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\InstallShield
[2013.01.26 15:12:09 | 000,000,000 | ---D | C] -- C:\Program Files\Elantech
[2013.01.26 15:09:35 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Launch Manager
[2013.01.26 15:07:45 | 000,041,984 | ---- | C] (Intel Corporation) -- C:\Windows\SysNative\drivers\USB3Ver.dll
[2013.01.26 15:06:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Intel
[2013.01.26 15:06:53 | 000,000,000 | ---D | C] -- C:\Program Files\Intel
[2013.01.26 15:06:33 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\postureAgent
[2013.01.26 15:05:49 | 000,000,000 | ---D | C] -- C:\Program Files\Broadcom
[2013.01.26 15:03:48 | 000,053,248 | ---- | C] (Windows XP Bundled build C-Centric Single User) -- C:\Windows\SysWow64\CSVer.dll
[2013.01.26 15:01:59 | 000,000,000 | ---D | C] -- C:\ProgramData\NVIDIA
[2013.01.26 15:01:39 | 006,087,488 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcpl.dll
[2013.01.26 15:01:39 | 003,092,288 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvsvc64.dll
[2013.01.26 15:01:39 | 002,561,856 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvsvcr.dll
[2013.01.26 15:01:39 | 000,850,752 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nv3dappshext.dll
[2013.01.26 15:01:39 | 000,118,080 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvmctray.dll
[2013.01.26 15:01:39 | 000,063,296 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvshext.dll
[2013.01.26 15:01:39 | 000,055,616 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nv3dappshextr.dll
[2013.01.26 15:01:08 | 000,000,000 | ---D | C] -- C:\ProgramData\NVIDIA Corporation
[2013.01.26 15:01:05 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\NVIDIA Corporation
[2013.01.26 15:00:45 | 025,558,336 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvoglv64.dll
[2013.01.26 15:00:45 | 019,458,368 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvoglv32.dll
[2013.01.26 15:00:45 | 009,733,440 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvwgf2umx.dll
[2013.01.26 15:00:45 | 007,727,424 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvwgf2um.dll
[2013.01.26 15:00:45 | 001,737,536 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvdispco64.dll
[2013.01.26 15:00:45 | 001,466,176 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvgenco64.dll
[2013.01.26 15:00:45 | 000,962,880 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvumdshimx.dll
[2013.01.26 15:00:45 | 000,813,376 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvumdshim.dll
[2013.01.26 15:00:45 | 000,364,352 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvdecodemft.dll
[2013.01.26 15:00:45 | 000,301,376 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvdecodemft.dll
[2013.01.26 15:00:45 | 000,260,928 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvinitx.dll
[2013.01.26 15:00:45 | 000,215,360 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvinit.dll
[2013.01.26 15:00:45 | 000,028,992 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\drivers\nvpciflt.sys
[2013.01.26 15:00:44 | 025,222,464 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcompiler.dll
[2013.01.26 15:00:44 | 017,663,808 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvd3dumx.dll
[2013.01.26 15:00:44 | 017,543,488 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvcompiler.dll
[2013.01.26 15:00:44 | 015,028,544 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvd3dum.dll
[2013.01.26 15:00:44 | 008,045,888 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcuda.dll
[2013.01.26 15:00:44 | 005,924,160 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvcuda.dll
[2013.01.26 15:00:44 | 002,873,664 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcuvenc.dll
[2013.01.26 15:00:44 | 002,676,032 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvapi64.dll
[2013.01.26 15:00:44 | 002,673,984 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcuvid.dll
[2013.01.26 15:00:44 | 002,518,336 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvcuvid.dll
[2013.01.26 15:00:44 | 002,438,464 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvcuvenc.dll
[2013.01.26 15:00:44 | 002,316,608 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysWow64\nvapi.dll
[2013.01.26 15:00:38 | 000,000,000 | ---D | C] -- C:\Program Files\NVIDIA Corporation
[2013.01.26 14:58:31 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel
[2013.01.26 14:58:03 | 000,568,600 | ---- | C] (Intel Corporation) -- C:\Windows\SysNative\drivers\iaStor.sys
[2013.01.26 14:54:26 | 000,149,504 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\rdpcorekmts.dll
[2013.01.26 14:54:26 | 000,077,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\rdpwsx.dll
[2013.01.26 14:54:26 | 000,009,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\rdrmemptylst.exe
[2013.01.26 14:53:50 | 001,544,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\DWrite.dll
[2013.01.26 14:52:00 | 005,559,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntoskrnl.exe
[2013.01.26 14:52:00 | 003,968,368 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntkrnlpa.exe
[2013.01.26 14:51:59 | 003,913,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntoskrnl.exe
[2013.01.26 14:51:02 | 001,031,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\rdpcore.dll
[2013.01.26 14:51:02 | 000,826,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\rdpcore.dll
[2013.01.26 14:49:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem
[2013.01.26 14:49:40 | 000,000,000 | ---D | C] -- C:\ProgramData\EgisTec
[2013.01.26 14:45:23 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Intel
[2013.01.26 14:45:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Intel
[2013.01.26 14:45:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Intel
[2013.01.26 14:44:22 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
[2013.01.19 14:51:39 | 000,688,992 | ---- | C] (Swearware) -- C:\dds.scr
[2013.01.19 11:45:10 | 003,325,260 | ---- | C] (AVAST Software) -- C:\aswMBR.exe
[2013.01.18 19:20:53 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\OTL.exe
[2013.01.16 17:05:04 | 005,022,302 | R--- | C] (Swearware) -- C:\ComboFix.exe
[2013.01.16 16:15:56 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.01.16 12:56:31 | 000,000,000 | -HSD | C] -- C:\Programme
[2013.01.16 12:56:31 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen
[2013.01.16 11:59:45 | 000,000,000 | ---D | C] -- C:\Dolby PCEE4
[2013.01.16 11:37:37 | 000,000,000 | -H-D | C] -- C:\book
[2013.01.16 11:33:00 | 000,000,000 | -H-D | C] -- C:\Intel
[2013.01.16 11:29:47 | 000,000,000 | -HSD | C] -- C:\System Volume Information
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.01 10:34:35 | 000,016,752 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.01 10:34:35 | 000,016,752 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.01 10:33:53 | 001,612,672 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.02.01 10:33:53 | 000,696,814 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.02.01 10:33:53 | 000,652,092 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.02.01 10:33:53 | 000,147,820 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.02.01 10:33:53 | 000,120,766 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.02.01 10:31:02 | 000,001,832 | ---- | M] () -- C:\Users\Public\Desktop\McAfee Internet Security Suite.lnk
[2013.02.01 10:30:00 | 000,000,386 | ---- | M] () -- C:\Windows\tasks\Acer Registration - Reminder Recall task.job
[2013.02.01 10:26:44 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.01 10:26:28 | 2020,360,191 | -HS- | M] () -- C:\hiberfil.sys
[2013.02.01 07:02:44 | 000,000,830 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.01.29 17:34:26 | 001,639,602 | ---- | M] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2013.01.29 17:21:54 | 000,000,193 | ---- | M] () -- C:\Windows\WORDPAD.INI
[2013.01.29 14:24:42 | 000,002,915 | ---- | M] () -- C:\Users\admin\Documents\TDSSKiller.2.8.15.0_29.01.2013_10.16.02_log.odt
[2013.01.29 10:27:39 | 000,001,113 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.29 10:22:09 | 000,000,000 | ---- | M] () -- C:\Windows\pestpatrol5.INI
[2013.01.29 07:55:18 | 000,001,083 | ---- | M] () -- C:\Users\Public\Desktop\Mobile Partner.lnk
[2013.01.29 07:55:06 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_Kernel_ew_jubusenum_01007.Wdf
[2013.01.29 07:54:46 | 001,490,656 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\WdfCoInstaller01007.dll
[2013.01.29 07:54:46 | 001,490,656 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\WdfCoInstaller01007.dll
[2013.01.29 07:54:46 | 001,001,472 | ---- | M] (DiBcom SA) -- C:\Windows\SysNative\drivers\mod7700.sys
[2013.01.29 07:54:46 | 000,421,376 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ewusbwwan.sys
[2013.01.29 07:54:46 | 000,222,464 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ewusbmdm.sys
[2013.01.29 07:54:46 | 000,212,992 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_juwwanecm.sys
[2013.01.29 07:54:46 | 000,117,248 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_hwusbdev.sys
[2013.01.29 07:54:46 | 000,098,816 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_jucdcacm.sys
[2013.01.29 07:54:46 | 000,086,016 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_jubusenum.sys
[2013.01.29 07:54:46 | 000,069,632 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_jucdcecm.sys
[2013.01.29 07:54:46 | 000,032,768 | ---- | M] (Huawei Tech. Co., Ltd.) -- C:\Windows\SysNative\drivers\ewdcsc.sys
[2013.01.29 07:54:46 | 000,028,672 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_juextctrl.sys
[2013.01.29 07:54:46 | 000,022,016 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_hwupgrade.sys
[2013.01.29 07:54:46 | 000,013,952 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Windows\SysNative\drivers\ew_usbenumfilter.sys
[2013.01.29 07:41:23 | 000,001,024 | RH-- | M] () -- C:\Users\Public\Documents\NTIMMV9Acer.dll
[2013.01.29 07:41:22 | 000,001,024 | RH-- | M] () -- C:\Users\Public\Documents\NTILiveUpdateV9.dll
[2013.01.29 07:39:25 | 000,000,000 | ---- | M] () -- C:\Users\admin\defogger_reenable
[2013.01.27 08:34:11 | 000,001,869 | ---- | M] () -- C:\Users\Public\Desktop\ImgBurn.lnk
[2013.01.26 23:36:45 | 000,295,922 | ---- | M] () -- C:\Windows\SysNative\perfi007.dat
[2013.01.26 23:36:45 | 000,038,104 | ---- | M] () -- C:\Windows\SysNative\perfd007.dat
[2013.01.26 23:36:32 | 000,002,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\usbrpm.sys.mui
[2013.01.26 23:36:28 | 000,017,920 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\fvevol.sys.mui
[2013.01.26 23:36:20 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\UMDF\de-DE\WpdMtpDr.dll.mui
[2013.01.26 23:36:14 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\qwavedrv.sys.mui
[2013.01.26 23:36:12 | 000,017,408 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\nwifi.sys.mui
[2013.01.26 23:36:12 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\qwavedrv.sys.mui
[2013.01.26 23:36:09 | 000,028,672 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\volsnap.sys.mui
[2013.01.26 23:36:09 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\usbport.sys.mui
[2013.01.26 23:36:09 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\processr.sys.mui
[2013.01.26 23:36:09 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\intelppm.sys.mui
[2013.01.26 23:36:09 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\amdppm.sys.mui
[2013.01.26 23:36:09 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\amdk8.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\usbhub.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\serial.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ohci1394.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\1394ohci.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | M] (Brother Industries Ltd.) -- C:\Windows\SysNative\drivers\de-DE\BrSerId.sys.mui
[2013.01.26 23:36:09 | 000,011,776 | ---- | M] (Brother Industries Ltd.) -- C:\Windows\SysNative\drivers\de-DE\BrSerIb.sys.mui
[2013.01.26 23:36:09 | 000,010,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\i8042prt.sys.mui
[2013.01.26 23:36:09 | 000,010,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\acpi.sys.mui
[2013.01.26 23:36:09 | 000,009,728 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\battc.sys.mui
[2013.01.26 23:36:09 | 000,008,192 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\pci.sys.mui
[2013.01.26 23:36:09 | 000,006,656 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\IPMIDrv.sys.mui
[2013.01.26 23:36:09 | 000,005,632 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\sermouse.sys.mui
[2013.01.26 23:36:09 | 000,005,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\kbdclass.sys.mui
[2013.01.26 23:36:09 | 000,004,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\vdrvroot.sys.mui
[2013.01.26 23:36:09 | 000,004,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mouclass.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\wacompen.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\vhdmp.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\tpm.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\isapnp.sys.mui
[2013.01.26 23:36:09 | 000,004,096 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\hdaudbus.sys.mui
[2013.01.26 23:36:09 | 000,003,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\parport.sys.mui
[2013.01.26 23:36:09 | 000,003,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ataport.sys.mui
[2013.01.26 23:36:09 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\umbus.sys.mui
[2013.01.26 23:36:09 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mssmbios.sys.mui
[2013.01.26 23:36:09 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mouhid.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\vwifibus.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ULIAGPKX.SYS.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\UAGP35.SYS.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\NV_AGP.SYS.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\MTConfig.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\kbdhid.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\GAGP30KX.SYS.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\disk.sys.mui
[2013.01.26 23:36:09 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\AGP440.sys.mui
[2013.01.26 23:36:09 | 000,002,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\wd.sys.mui
[2013.01.26 23:36:09 | 000,002,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\cdrom.sys.mui
[2013.01.26 23:36:09 | 000,002,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\amdide.sys.mui
[2013.01.26 23:36:07 | 000,038,912 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mpio.sys.mui
[2013.01.26 23:36:07 | 000,008,192 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\bthport.sys.mui
[2013.01.26 23:36:07 | 000,007,168 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\msdsm.sys.mui
[2013.01.26 23:36:07 | 000,006,656 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\UMDF\de-DE\WUDFUsbccidDriver.dll.mui
[2013.01.26 23:36:07 | 000,004,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\pcmcia.sys.mui
[2013.01.26 23:36:07 | 000,004,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\bthpan.sys.mui
[2013.01.26 23:36:07 | 000,004,096 | ---- | M] (SCM Microsystems, Inc.) -- C:\Windows\SysNative\drivers\de-DE\pscr.sys.mui
[2013.01.26 23:36:07 | 000,003,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\tsusbflt.sys.mui
[2013.01.26 23:36:07 | 000,003,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\portcls.sys.mui
[2013.01.26 23:36:07 | 000,003,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\HdAudio.sys.mui
[2013.01.26 23:36:07 | 000,003,584 | ---- | M] (ATI Technologies Inc.) -- C:\Windows\SysNative\drivers\de-DE\atikmdag.sys.mui
[2013.01.26 23:36:07 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\serscan.sys.mui
[2013.01.26 23:36:07 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\rndismpx.sys.mui
[2013.01.26 23:36:07 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\rndismp6.sys.mui
[2013.01.26 23:36:07 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\hidbth.sys.mui
[2013.01.26 23:36:07 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\pnpmem.sys.mui
[2013.01.26 23:36:07 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\Dot4usb.sys.mui
[2013.01.26 23:36:07 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\BTHUSB.SYS.mui
[2013.01.26 23:36:07 | 000,002,560 | ---- | M] (Brother Industries Ltd.) -- C:\Windows\SysNative\drivers\de-DE\BrParwdm.sys.mui
[2013.01.26 23:36:07 | 000,002,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ws2ifsl.sys.mui
[2013.01.26 23:36:07 | 000,002,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\bthenum.sys.mui
[2013.01.26 23:36:06 | 000,051,712 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\tcpip.sys.mui
[2013.01.26 23:36:04 | 000,016,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\pacer.sys.mui
[2013.01.26 23:36:04 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\rdpwd.sys.mui
[2013.01.26 23:36:03 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\bfe.dll.mui
[2013.01.26 23:36:02 | 000,003,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\modem.sys.mui
[2013.01.26 23:36:02 | 000,003,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ipnat.sys.mui
[2013.01.26 23:36:01 | 000,016,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\afd.sys.mui
[2013.01.26 23:36:01 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\volmgrx.sys.mui
[2013.01.26 23:35:59 | 000,072,192 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ntfs.sys.mui
[2013.01.26 23:35:59 | 000,009,216 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\tunnel.sys.mui
[2013.01.26 23:35:59 | 000,007,168 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\luafv.sys.mui
[2013.01.26 23:35:59 | 000,005,632 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\ndiscap.sys.mui
[2013.01.26 23:35:59 | 000,005,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\rdbss.sys.mui
[2013.01.26 23:35:59 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\srv.sys.mui
[2013.01.26 23:35:59 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\scfilter.sys.mui
[2013.01.26 23:35:57 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ndisuio.sys.mui
[2013.01.26 23:35:57 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\partmgr.sys.mui
[2013.01.26 23:35:57 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\mountmgr.sys.mui
[2013.01.26 23:35:46 | 000,005,632 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ndiscap.sys.mui
[2013.01.26 23:35:46 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\RNDISMP.sys.mui
[2013.01.26 23:35:45 | 000,051,712 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\tcpip.sys.mui
[2013.01.26 23:35:45 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\scfilter.sys.mui
[2013.01.26 23:35:44 | 000,041,984 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\ndis.sys.mui
[2013.01.26 23:35:44 | 000,005,632 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\fltmgr.sys.mui
[2013.01.26 23:35:44 | 000,002,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\wdf01000.sys.mui
[2013.01.26 23:35:43 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\scsiport.sys.mui
[2013.01.26 23:35:42 | 000,044,032 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\de-DE\http.sys.mui
[2013.01.26 23:35:42 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\bfe.dll.mui
[2013.01.26 23:35:42 | 000,016,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\drivers\de-DE\pacer.sys.mui
[2013.01.26 23:33:29 | 000,011,453 | ---- | M] () -- C:\Windows\ChangeLang_Done.tag
[2013.01.26 16:29:27 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf
[2013.01.26 16:23:52 | 000,002,609 | ---- | M] () -- C:\Users\Public\Desktop\eBay.lnk
[2013.01.26 16:23:29 | 000,000,991 | ---- | M] () -- C:\Users\Public\Desktop\Kobo.lnk
[2013.01.26 16:22:56 | 000,001,732 | ---- | M] () -- C:\Users\Public\Desktop\Online kaufen.lnk
[2013.01.26 16:22:43 | 000,002,074 | ---- | M] () -- C:\Users\Public\Desktop\Eurosport Player.lnk
[2013.01.26 16:21:31 | 000,159,772 | ---- | M] () -- C:\Windows\SysWow64\license.rtf
[2013.01.26 16:21:31 | 000,159,772 | ---- | M] () -- C:\Windows\SysNative\license.rtf
[2013.01.26 15:38:21 | 000,001,162 | ---- | M] () -- C:\Users\Public\Desktop\clear.fi Photo.lnk
[2013.01.26 15:37:04 | 000,001,162 | ---- | M] () -- C:\Users\Public\Desktop\clear.fi Media.lnk
[2013.01.26 15:34:49 | 000,001,024 | RH-- | M] () -- C:\Users\Public\Documents\NTIMMV9REGET.dll
[2013.01.26 15:25:47 | 000,749,140 | ---- | M] () -- C:\Windows\SysNative\oem29.inf
[2013.01.26 15:25:11 | 004,961,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\vcredist_x64.exe
[2013.01.26 15:25:11 | 004,659,712 | ---- | M] (Broadcom Corporation) -- C:\Windows\SysNative\bcmttls.dll
[2013.01.26 15:25:11 | 003,161,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\vcredist_x64.exe
[2013.01.26 15:25:11 | 001,047,552 | ---- | M] (Broadcom Corporation) -- C:\Windows\SysNative\BCMLogon.dll
[2013.01.26 15:25:11 | 000,073,728 | ---- | M] (Broadcom Corporation) -- C:\Windows\SysNative\wltrynt.dll
[2013.01.26 15:25:11 | 000,035,344 | ---- | M] (CACE Technologies, Inc.) -- C:\Windows\SysNative\drivers\npf.sys
[2013.01.26 15:25:11 | 000,022,592 | ---- | M] (Broadcom Corporation) -- C:\Windows\SysNative\drivers\bcm42rly.sys
[2013.01.26 15:25:11 | 000,000,446 | ---- | M] () -- C:\Windows\SysWow64\vcredist_x64.bat
[2013.01.26 15:25:11 | 000,000,445 | ---- | M] () -- C:\Windows\SysNative\vcredist_x64.bat
[2013.01.26 15:25:10 | 000,006,656 | ---- | M] () -- C:\Windows\SysNative\bcmwlrc.dll
[2013.01.26 15:25:09 | 004,746,304 | ---- | M] (Broadcom Corporation) -- C:\Windows\SysNative\drivers\BCMWL664.SYS
[2013.01.26 15:25:09 | 003,952,640 | ---- | M] (Broadcom Corporation) -- C:\Windows\SysNative\bcmihvsrv64.dll
[2013.01.26 15:25:09 | 003,617,792 | ---- | M] (Broadcom Corporation) -- C:\Windows\SysNative\bcmihvui64.dll
[2013.01.26 15:25:09 | 000,095,544 | ---- | M] (Broadcom Corporation) -- C:\Windows\SysNative\bcmwlcoi.dll
[2013.01.26 15:25:09 | 000,021,568 | ---- | M] (Broadcom Corporation) -- C:\Windows\SysNative\drivers\bcmvwl64.sys
[2013.01.26 15:16:45 | 000,000,834 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk
[2013.01.26 15:09:39 | 000,000,184 | ---- | M] () -- C:\Windows\LMv4.UNI
[2013.01.26 15:08:50 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_Kernel_b57xdbd_01009.Wdf
[2013.01.26 15:07:59 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_Kernel_iusb3hcs_01009.Wdf
[2013.01.26 14:56:09 | 000,283,104 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2013.01.26 14:49:13 | 000,015,808 | ---- | M] () -- C:\Windows\SysNative\results.xml
[2013.01.19 11:53:07 | 003,325,260 | ---- | M] (AVAST Software) -- C:\aswMBR.exe
[2013.01.19 11:28:01 | 001,110,476 | ---- | M] () -- C:\7z920.exe
[2013.01.18 19:30:25 | 000,050,477 | ---- | M] () -- C:\Defogger.exe
[2013.01.18 19:23:48 | 000,574,677 | ---- | M] () -- C:\adwcleaner.exe
[2013.01.18 19:22:17 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\OTL.exe
[2013.01.16 17:09:31 | 005,022,302 | R--- | M] (Swearware) -- C:\ComboFix.exe
[2013.01.13 19:30:36 | 000,688,992 | ---- | M] (Swearware) -- C:\dds.scr
[2013.01.13 19:20:32 | 013,817,216 | R--- | M] (Computer Associates International, Inc.                     ) -- C:\pptrialr8.exe
[2013.01.13 16:41:48 | 002,195,061 | R--- | M] () -- C:\tdsskiller.zip
[2013.01.13 09:36:14 | 004,178,040 | R--- | M] (Piriform Ltd) -- C:\ccsetup326.exe
 
========== Files Created - No Company Name ==========
 
[2013.01.29 17:00:15 | 000,000,193 | ---- | C] () -- C:\Windows\WORDPAD.INI
[2013.01.29 14:24:42 | 000,002,915 | ---- | C] () -- C:\Users\admin\Documents\TDSSKiller.2.8.15.0_29.01.2013_10.16.02_log.odt
[2013.01.29 10:22:09 | 000,000,000 | ---- | C] () -- C:\Windows\pestpatrol5.INI
[2013.01.29 09:39:18 | 002,195,061 | R--- | C] () -- C:\tdsskiller.zip
[2013.01.29 09:38:19 | 000,302,592 | R--- | C] () -- C:\dglw357d.exe
[2013.01.29 09:36:49 | 000,001,113 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.29 07:55:18 | 000,001,083 | ---- | C] () -- C:\Users\Public\Desktop\Mobile Partner.lnk
[2013.01.29 07:55:06 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_Kernel_ew_jubusenum_01007.Wdf
[2013.01.29 07:39:25 | 000,000,000 | ---- | C] () -- C:\Users\admin\defogger_reenable
[2013.01.27 09:34:59 | 000,000,386 | ---- | C] () -- C:\Windows\tasks\Acer Registration - Reminder Recall task.job
[2013.01.27 08:34:11 | 000,001,881 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ImgBurn.lnk
[2013.01.27 08:34:11 | 000,001,869 | ---- | C] () -- C:\Users\Public\Desktop\ImgBurn.lnk
[2013.01.26 23:39:24 | 000,011,453 | ---- | C] () -- C:\Windows\ChangeLang_Done.tag
[2013.01.26 23:37:09 | 000,696,814 | ---- | C] () -- C:\Windows\SysNative\perfh007.dat
[2013.01.26 23:37:09 | 000,295,922 | ---- | C] () -- C:\Windows\SysNative\perfi007.dat
[2013.01.26 23:37:09 | 000,147,820 | ---- | C] () -- C:\Windows\SysNative\perfc007.dat
[2013.01.26 23:37:09 | 000,038,104 | ---- | C] () -- C:\Windows\SysNative\perfd007.dat
[2013.01.26 16:29:27 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf
[2013.01.26 16:26:49 | 000,001,409 | ---- | C] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
[2013.01.26 16:26:45 | 000,001,443 | ---- | C] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
[2013.01.26 16:23:52 | 000,002,609 | ---- | C] () -- C:\Users\Public\Desktop\eBay.lnk
[2013.01.26 16:23:29 | 000,000,991 | ---- | C] () -- C:\Users\Public\Desktop\Kobo.lnk
[2013.01.26 16:22:56 | 000,001,732 | ---- | C] () -- C:\Users\Public\Desktop\Online kaufen.lnk
[2013.01.26 16:22:43 | 000,002,074 | ---- | C] () -- C:\Users\Public\Desktop\Eurosport Player.lnk
[2013.01.26 15:38:21 | 000,001,162 | ---- | C] () -- C:\Users\Public\Desktop\clear.fi Photo.lnk
[2013.01.26 15:37:04 | 000,001,162 | ---- | C] () -- C:\Users\Public\Desktop\clear.fi Media.lnk
[2013.01.26 15:36:35 | 000,001,024 | RH-- | C] () -- C:\Users\Public\Documents\NTILiveUpdateV9.dll
[2013.01.26 15:34:49 | 000,001,024 | RH-- | C] () -- C:\Users\Public\Documents\NTIMMV9REGET.dll
[2013.01.26 15:34:49 | 000,001,024 | RH-- | C] () -- C:\Users\Public\Documents\NTIMMV9Acer.dll
[2013.01.26 15:33:02 | 000,002,435 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2010.lnk
[2013.01.26 15:25:53 | 000,749,140 | ---- | C] () -- C:\Windows\SysNative\oem29.inf
[2013.01.26 15:25:25 | 000,006,656 | ---- | C] () -- C:\Windows\SysNative\bcmwlrc.dll
[2013.01.26 15:25:24 | 000,000,446 | ---- | C] () -- C:\Windows\SysWow64\vcredist_x64.bat
[2013.01.26 15:25:23 | 000,000,445 | ---- | C] () -- C:\Windows\SysNative\vcredist_x64.bat
[2013.01.26 15:22:28 | 001,639,602 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2013.01.26 15:16:18 | 000,056,887 | ---- | C] () -- C:\Windows\SysNative\drivers\BCM20702A1_001.002.014.0449.0480.hex
[2013.01.26 15:15:47 | 000,000,834 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk
[2013.01.26 15:13:17 | 000,247,560 | ---- | C] () -- C:\Windows\SysNative\drivers\RTConvEQ.dat
[2013.01.26 15:13:17 | 000,039,672 | ---- | C] () -- C:\Windows\SysNative\drivers\RtPCEE3.DAT
[2013.01.26 15:13:17 | 000,016,494 | ---- | C] () -- C:\Windows\SysNative\drivers\RtPCEE4.DAT
[2013.01.26 15:13:17 | 000,001,448 | ---- | C] () -- C:\Windows\SysNative\drivers\RtHdatEx.dat
[2013.01.26 15:13:17 | 000,000,712 | ---- | C] () -- C:\Windows\SysNative\drivers\RTEQEX0.dat
[2013.01.26 15:13:17 | 000,000,520 | ---- | C] () -- C:\Windows\SysNative\drivers\RTEQEX3.dat
[2013.01.26 15:13:17 | 000,000,520 | ---- | C] () -- C:\Windows\SysNative\drivers\RTEQEX2.dat
[2013.01.26 15:13:17 | 000,000,520 | ---- | C] () -- C:\Windows\SysNative\drivers\RTEQEX1.dat
[2013.01.26 15:13:17 | 000,000,176 | ---- | C] () -- C:\Windows\SysNative\drivers\RTHDAEQ1.dat
[2013.01.26 15:13:17 | 000,000,024 | ---- | C] () -- C:\Windows\SysNative\drivers\rtkhdaud.dat
[2013.01.26 15:13:08 | 000,206,088 | ---- | C] () -- C:\Windows\SysNative\drivers\RTAIODAT.DAT
[2013.01.26 15:09:39 | 000,000,184 | ---- | C] () -- C:\Windows\LMv4.UNI
[2013.01.26 15:08:50 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_Kernel_b57xdbd_01009.Wdf
[2013.01.26 15:07:59 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_Kernel_iusb3hcs_01009.Wdf
[2013.01.26 15:07:02 | 000,015,128 | ---- | C] () -- C:\Windows\SysNative\drivers\IntelMEFWVer.dll
[2013.01.26 15:01:39 | 002,529,540 | ---- | C] () -- C:\Windows\SysNative\nvcoproc.bin
[2013.01.26 15:00:45 | 000,012,780 | ---- | C] () -- C:\Windows\SysNative\nvinfo.pb
[2013.01.26 14:49:13 | 000,015,808 | ---- | C] () -- C:\Windows\SysNative\results.xml
[2013.01.19 11:26:33 | 001,110,476 | ---- | C] () -- C:\7z920.exe
[2013.01.18 19:30:22 | 000,050,477 | ---- | C] () -- C:\Defogger.exe
[2013.01.18 19:22:36 | 000,574,677 | ---- | C] () -- C:\adwcleaner.exe
[2013.01.16 11:29:48 | 2020,360,191 | -HS- | C] () -- C:\hiberfil.sys
[2012.05.14 11:29:58 | 000,058,880 | ---- | C] () -- C:\Windows\SysWow64\igdde32.dll
[2012.05.14 11:29:54 | 013,024,768 | ---- | C] () -- C:\Windows\SysWow64\ig7icd32.dll
[2012.05.14 11:29:34 | 000,755,188 | ---- | C] () -- C:\Windows\SysWow64\igkrng700.bin
[2012.05.14 11:29:34 | 000,561,508 | ---- | C] () -- C:\Windows\SysWow64\igfcg700m.bin
[2012.02.02 22:08:26 | 000,001,536 | ---- | C] () -- C:\Windows\SysWow64\IusEventLog.dll
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.01.04 11:44:25 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.01.04 09:59:38 | 012,872,704 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

< End of report >
         

Alt 01.02.2013, 12:25   #8
Lydia33
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Code:
ATTFilter
OTL Extras logfile created on: 01.02.2013 10:36:39 - Run 7
OTL by OldTimer - Version 3.2.69.0     Folder = C:\
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
7,84 Gb Total Physical Memory | 6,30 Gb Available Physical Memory | 80,32% Memory free
15,68 Gb Paging File | 13,70 Gb Available in Paging File | 87,39% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 678,54 Gb Total Space | 630,64 Gb Free Space | 92,94% Space Free | Partition Type: NTFS
 
Computer Name: ABCD | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{13A890E9-E8B7-4814-9968-00A59A79C728}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) | 
"{3F703B85-241D-4060-A608-B781D85B219B}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{093127FA-D3DE-4B00-A4C8-DC188ED17FB1}" = dir=in | app=c:\program files (x86)\windows live\contacts\wlcomm.exe | 
"{114C4C9C-B27C-4459-AC1A-017113372BB1}" = protocol=6 | dir=in | app=c:\program files (x86)\acer\clear.fi media\windowsupnpmv.exe | 
"{1E11C507-3049-4310-80AB-245AE5E04F67}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"{41F808BE-15C5-41B8-B3A0-BE632FD938D5}" = protocol=6 | dir=in | app=c:\program files\common files\mcafee\mcsvchost\mcsvhost.exe | 
"{475801F3-41FE-4981-9823-A4637855F55B}" = dir=in | app=c:\program files (x86)\windows live\mesh\moe.exe | 
"{4BD2FC7B-CDB3-43A3-992B-413E6C25FFAA}" = protocol=6 | dir=in | app=c:\program files (x86)\acer\clear.fi photo\dmcdaemon.exe | 
"{6280390F-744F-4B23-BA32-EDDAC1D57599}" = dir=in | app=c:\program files (x86)\acer\clear.fi sdk20\movie\playmovie.exe | 
"{716B30CB-9CE3-412F-821D-F91A4365879A}" = dir=in | app=c:\program files (x86)\acer\clear.fi sdk20\mvp\videoplayer.exe | 
"{71998701-485E-4A70-A7B1-F614CC1FBDC1}" = protocol=6 | dir=in | app=c:\program files (x86)\acer\clear.fi media\dmcdaemon.exe | 
"{7B1564CC-A14C-465C-ACEF-A6C43051F7B5}" = protocol=17 | dir=in | app=c:\program files (x86)\acer\clear.fi photo\dmcdaemon.exe | 
"{7C60C7DD-044F-4056-8203-D2352F6ACCA7}" = protocol=17 | dir=in | app=c:\program files (x86)\acer\clear.fi photo\windowsupnp.exe | 
"{81C8597A-4548-4270-950C-678BB3602A06}" = dir=in | app=c:\program files (x86)\windows live\messenger\msnmsgr.exe | 
"{9351621E-BBD7-49E5-853D-0EA3B1AF77EC}" = protocol=17 | dir=in | app=c:\program files\common files\mcafee\mcsvchost\mcsvhost.exe | 
"{9A8DB9DA-074F-47B4-9F53-2B003CFA1BE3}" = protocol=6 | dir=in | app=c:\program files (x86)\acer\clear.fi photo\windowsupnp.exe | 
"{DD285531-AB0A-4110-A9F4-749F3E6BE5C9}" = dir=in | app=c:\program files (x86)\acer\clear.fi sdk20\mvp\musicplayer.exe | 
"{EECEAFA4-E492-4C37-9EDA-5685743975F9}" = protocol=17 | dir=in | app=c:\program files (x86)\acer\clear.fi media\dmcdaemon.exe | 
"{F51C44B1-B293-4C70-83FD-9602A6921932}" = protocol=17 | dir=in | app=c:\program files (x86)\acer\clear.fi media\windowsupnpmv.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{0919C44F-F18A-4E3B-A737-03685272CE72}" = Windows Live Remote Service Resources
"{09536BA1-E498-4CC3-B834-D884A67D7E34}" = Intel® Trusted Connect Service Client
"{0B78ECB0-1A6B-4E6D-89D7-0E7CE77F0427}" = MyWinLocker
"{1553D712-B35F-4A82-BC72-D6B11A94BE3E}" = Windows Live Remote Service Resources
"{1685AE50-97ED-485B-80F6-145071EE14B0}" = Windows Live Remote Service Resources
"{17A4FD95-A507-43F1-BC92-D8572AF8340A}" = Windows Live Remote Service Resources
"{180C8888-50F1-426B-A9DC-AB83A1989C65}" = Windows Live Language Selector
"{19F09425-3C20-4730-9E2A-FC2E17C9F362}" = Windows Live Remote Service Resources
"{1ACC8FFB-9D84-4C05-A4DE-D28A9BC91698}" = Windows Live ID Sign-in Assistant
"{1EB2CFC3-E1C5-4FC4-B1F8-549DD6242C67}" = Windows Live Remote Service Resources
"{1F557316-CFC0-41BD-AFF7-8BC49CE444D7}" = Shredder
"{22AB5CFD-B3DB-414E-9F99-4D024CCF1DA6}" = Windows Live Remote Client Resources
"{2426E29F-9E8C-4C0B-97FC-0DB690C1ED98}" = Windows Live Remote Client Resources
"{2C1A6191-9804-4FDC-AB01-6F9183C91A13}" = Windows Live Remote Client Resources
"{2F304EF4-0C31-47F4-8557-0641AAE4197C}" = Windows Live Remote Client Resources
"{34384A2A-2CA2-4446-AB0E-1F360BA2AAC5}" = Windows Live Remote Service Resources
"{350FD0E7-175A-4F86-84EF-05B77FCD7161}" = Windows Live Remote Service Resources
"{36674AE9-6D3D-48D6-BC7B-209F556D65EE}" = Acer Instant Update Service
"{3921492E-82D2-4180-8124-E347AD2F2DB4}" = Windows Live Remote Client Resources
"{456FB9B5-AFBC-4761-BBDC-BA6BAFBB818F}" = Windows Live Remote Client Resources
"{4710662C-8204-4334-A977-B1AC9E547819}" = Broadcom Card Reader Driver Installer
"{480F28F0-8BCE-404A-A52E-0DBB7D1CE2EF}" = Windows Live Remote Service Resources
"{4C2E49C0-9276-4324-841D-774CCCE5DB48}" = Windows Live Remote Client Resources
"{5141AA6E-5FAC-4473-BFFB-BEE69DDC7F2B}" = Windows Live Remote Service Resources
"{5151E2DB-0748-4FD1-86A2-72E2F94F8BE7}" = Windows Live Remote Service Resources
"{57F2BD1C-14A3-4785-8E48-2075B96EB2DF}" = Windows Live Remote Service Resources
"{5E2CD4FB-4538-4831-8176-05D653C3E6D4}" = Windows Live Remote Service Resources
"{5F44A3A1-5D24-4708-8776-66B42B174C64}" = Windows Live Remote Client Resources
"{5FCD6EFE-C2E7-4D77-8212-4BA223D8DF8E}" = Windows Live Remote Client Resources
"{5FEAD3E5-A158-4B66-B92B-0C959D7CF838}" = Windows Live Remote Service Resources
"{61407251-7F7D-4303-810D-226A04D5CFF3}" = Windows Live Remote Service Resources
"{656DEEDE-F6AC-47CA-A568-A1B4E34B5760}" = Windows Live Remote Service Resources
"{692CCE55-9EAE-4F57-A834-092882E7FE0B}" = Windows Live Remote Client Resources
"{6C9365EB-1F9E-4893-9196-3EC77C88D0C5}" = Überwachungstool für die Intel® Turbo-Boost-Technik 2.5
"{6C9D3F1D-DBBE-46F9-96A0-726CC72935AF}" = Windows Live Remote Service Resources
"{6CBFDC3C-CF21-4C02-A6DC-A5A2707FAF55}" = Windows Live Remote Service Resources
"{702A632F-99CE-4E2D-B8F2-BF980E9CF62F}" = Windows Live Remote Client Resources
"{7AEC844D-448A-455E-A34E-E1032196BBCD}" = Windows Live Remote Service Resources
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{825C7D3F-D0B3-49D5-A42B-CBB0FBE85E99}" = Windows Live Remote Client Resources
"{847B0532-55E3-4AAF-8D7B-E3A1A7CD17E5}" = Windows Live Remote Client Resources
"{850B8072-2EA7-4EDC-B930-7FE569495E76}" = Windows Live Remote Client Resources
"{8970AE69-40BE-4058-9916-0ACB1B974A3D}" = Windows Live Remote Client Resources
"{8E34682C-8118-31F1-BC4C-98CD9675E1C2}" = Microsoft .NET Framework 4 Extended
"{8EB588BD-D398-40D0-ADF7-BE1CEEF7C116}" = Windows Live Remote Client Resources
"{90140000-006D-0407-1000-0000000FF1CE}" = Microsoft Office Klick-und-Los 2010
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{97A295A7-8840-4B35-BB61-27A8F4512CA3}" = Windows Live Remote Service Resources
"{9E9C960F-7F47-46D5-A95D-950B354DE2B8}" = Windows Live Remote Service Resources
"{A060182D-CDBE-4AD6-B9B4-860B435D6CBD}" = Windows Live Remote Client Resources
"{A1439D4F-FD46-47F2-A1D3-FEE097C29A09}" = WIDCOMM Bluetooth Software
"{A508D5A2-3AC1-4594-A718-A663D6D3CF11}" = Windows Live Remote Service Resources
"{A679FBE4-BA2D-4514-8834-030982C8B31A}" = Windows Live Remote Service Resources
"{B0BF8602-EA52-4B0A-A2BD-EDABB0977030}" = Windows Live Remote Client Resources
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 296.32
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 296.32
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Optimus" = NVIDIA Optimus 1.7.12
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.7.12
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B680A663-1A15-47A5-A07C-7DF9A97558B7}" = Windows Live Remote Client Resources
"{B750FA38-7AB0-42CB-ACBB-E7DBE9FF603F}" = Windows Live Remote Client Resources
"{C504EC13-E122-4939-BD6E-EE5A3BAA5FEC}" = Windows Live Remote Client Resources
"{C91DCB72-F5BB-410D-A91A-314F5D1B4284}" = Broadcom NetLink Controller
"{C9F05151-95A9-4B9B-B534-1760E2D014A5}" = Windows Live Remote Client Resources
"{CFF3C688-2198-4BC3-A399-598226949C39}" = Windows Live Remote Client Resources
"{D1C1556C-7FF3-48A3-A5D6-7126F0FAFB66}" = Windows Live Remote Client Resources
"{D3E4F422-7E0F-49C7-8B00-F42490D7A385}" = Windows Live Remote Service Resources
"{D5876F0A-B2E9-4376-B9F5-CD47B7B8D820}" = Windows Live Remote Client Resources
"{D930AF5C-5193-4616-887D-B974CEFC4970}" = Windows Live Remote Service Resources
"{DA54F80E-261C-41A2-A855-549A144F2F59}" = Windows Live MIME IFilter
"{DA5E371C-6333-3D8A-93A4-6FD5B20BCC6E}" = Microsoft Visual C++ 2010  x64 Redistributable - 10.0.30319
"{DBEDAF67-C5A3-4C91-951D-31F3FE63AF3F}" = Windows Live Remote Client Resources
"{DF6D988A-EEA0-4277-AAB8-158E086E439B}" = Windows Live Remote Client
"{E02A6548-6FDE-40E2-8ED9-119D7D7E641F}" = Windows Live Remote Service
"{ED421F97-E1C3-4E78-9F54-A53888215D58}" = Windows Live Remote Client Resources
"{EFB20CF5-1A6D-41F3-8895-223346CE6291}" = Windows Live Remote Service Resources
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"{F6CB2C5F-B2C1-4DF1-BF44-39D0DC06FE6F}" = Windows Live Remote Service Resources
"{FAA3933C-6F0D-4350-B66B-9D7F7031343E}" = Windows Live Remote Service Resources
"{FAD0EC0B-753B-4A97-AD34-32AC1EC8DB69}" = Windows Live Remote Client Resources
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
"Broadcom Wireless Utility" = Broadcom Wireless Utility
"Elantech" = ETDWare PS/2-X64 10.6.9.9_WHQL
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00884F14-05BD-4D8E-90E5-1ABF78948CA4}" = Windows Live Mesh
"{039480EE-6933-4845-88B8-77FD0C3D059D}" = Windows Live Mesh
"{0557BBDA-69D3-4FA4-A93C-A5300F7034B4}" = Windows Live Writer
"{05E379CC-F626-4E7D-8354-463865B303BF}" = Windows Live UX Platform Language Pack
"{062E4D94-8306-46D5-81B6-45E6AD09C799}" = Windows Live Messenger
"{0654EA5D-308A-4196-882B-5C09744A5D81}" = Windows Live Photo Common
"{06B05153-97E4-427E-B1A8-E098F6C5E52F}" = Windows Live Essentials
"{073F306D-9851-4969-B828-7B6444D07D55}" = Windows Live Photo Common
"{09922FFE-D153-44AE-8B60-EA3CB8088F93}" = Windows Live UX Platform Language Pack
"{0A4C4B29-5A9D-4910-A13C-B920D5758744}" = بريد Windows Live
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{0B61BBD5-DA3C-409A-8730-0C3DC3B0F270}" = Backup Manager V3
"{0C1931EB-8339-4837-8BEC-75029BF42734}" = Windows Live UX Platform Language Pack
"{0C975FCC-A06E-4CB6-8F54-A9B52CF37781}" = Windows Liven sähköposti
"{0D261C88-454B-46FE-B43B-640E621BDA11}" = Windows Live Mail
"{0EC0B576-90F9-43C3-8FAD-A4902DF4B8F4}" = Galeria de Fotografias do Windows Live
"{10186F1A-6A14-43DF-A404-F0105D09BB07}" = Windows Live Mail
"{110668B7-54C6-47C9-BAC4-1CE77F156AF5}" = Windows Live Mesh
"{11417707-1F72-4279-95A3-01E0B898BBF5}" = Windows Live Mesh
"{11778DA1-0495-4ED9-972F-F9E0B0367CD5}" = Windows Live Writer
"{1203DC60-D9BD-44F9-B372-2B8F227E6094}" = Windows Live Temel Parçalar
"{128133D3-037A-4C62-B1B7-55666A10587A}" = Windows Live UX Platform Language Pack
"{133D9D67-D475-4407-AC3C-D558087B2453}" = Windows Live Movie Maker
"{14B441B7-774D-4170-98EA-A13667AE6218}" = Windows Live Writer Resources
"{168E7302-890A-4138-9109-A225ACAF7AD1}" = Windows Live Photo Common
"{17835B63-8308-427F-8CF5-D76E0D5FE457}" = Windows Live Essentials
"{17DF9714-60C9-43C9-A9C2-32BCAED44CBE}" = MyWinLocker Suite
"{17F99FCE-8F03-4439-860A-25C5A5434E18}" = Windows Live Essentials
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319
"{198EA334-8A3F-4CB2-9D61-6C10B8168A6F}" = Windows Live Writer
"{19BA08F7-C728-469C-8A35-BFBD3633BE08}" = Windows Live Movie Maker
"{1A72337E-D126-4BAF-AC89-E6122DB71866}" = Windows Liven valokuvavalikoima
"{1A82AE99-84D3-486D-BAD6-675982603E14}" = Windows Live Writer
"{1BA1DBDC-5431-46FD-A66F-A17EB1C439EE}" = Windows Live Messenger
"{1D6C2068-807F-4B76-A0C2-62ED05656593}" = Windows Live Writer
"{1DA6D447-C54D-4833-84D4-3EA31CAECE9B}" = Windows Live UX Platform Language Pack
"{1DDB95A4-FD7B-4517-B3F1-2BCAA96879E6}" = Windows Live Writer Resources
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F6AB0E7-8CDD-4B93-8A23-AA9EB2FEFCE4}" = Junk Mail filter update
"{1FC83EAE-74C8-4C72-8400-2D8E40A017DE}" = Windows Live Writer
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{220C7F8C-929D-4F71-9DC7-F7A6823B38E4}" = Windows Live UX Platform Language Pack
"{240C3DDD-C5E9-4029-9DF7-95650D040CF2}" = Intel(R) USB 3.0 eXtensible Host Controller Driver
"{249EE21B-8EDD-4F36-8A23-E580E9DBE80A}" = Windows Live Mail
"{24DF33E0-F924-4D0D-9B96-11F28F0D602D}" = Windows Live UX Platform Language Pack
"{2511AAD7-82DF-4B97-B0B3-E1B933317010}" = Windows Live Writer Resources
"{25A381E1-0AB9-4E7A-ACCE-BA49D519CF4E}" = Windows Live Mail
"{25CD4B12-8CC5-433E-B723-C9CB41FA8C5A}" = Windows Live Writer
"{26E3C07C-7FF7-4362-9E99-9E49E383CF16}" = Windows Live Writer Resources
"{28B9D2D8-4304-483F-AD71-51890A063A74}" = Windows Live Photo Common
"{29373E24-AC72-424E-8F2A-FB0F9436F21F}" = Windows Live Photo Common
"{2A07C35B-8384-4DA4-9A95-442B6C89A073}" = Windows Live Essentials
"{2A3FC24C-6EC0-4519-A52B-FDA4EA9B2D24}" = Windows Live Messenger
"{2BA5FD10-653F-4CAF-9CCD-F685082A1DC1}" = Windows Live Writer
"{2C4E06CC-1F04-4C25-8B3C-93A9049EC42C}" = Windows Live UX Platform Language Pack
"{2C865FB0-051E-4D22-AC62-428E035AEAF0}" = Windows Live Mesh
"{2D3E034E-F76B-410A-A169-55755D2637BB}" = Windows Live Mesh
"{2E50E321-4747-4EB5-9ECB-BBC6C3AC0F31}" = Windows Live Writer Resources
"{2F54E453-8C93-4B3B-936A-233C909E6CAC}" = Windows Live Messenger
"{2FA94A64-C84E-49d1-97DD-7BF06C7BBFB2}.WildTangent Games App" = Update Installer for WildTangent Games App
"{3125D9DE-8D7A-4987-95F3-8A42389833D8}" = Windows Live Writer Resources
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{34319F1F-7CF2-4CC9-B357-1AE7D2FF3AC5}" = Windows Live
"{34F4D9A4-42C2-4348-BEF4-E553C84549E7}" = Windows Live Photo Gallery
"{370F888E-42A7-4911-9E34-7D74632E17EB}" = Windows Live Photo Common
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{39F15B50-A977-4CA6-B1C3-6A8724CDA025}" = MyWinLocker 4
"{39F95B0B-A0B7-4FA7-BB6C-197DA2546468}" = Windows Live Mesh
"{3B72C1E0-26A1-40F6-8516-D50C651DFB3C}" = Windows Live Essentials
"{3B9A92DA-6374-4872-B646-253F18624D5F}" = Windows Live Writer
"{3DB0448D-AD82-4923-B305-D001E521A964}" = Acer ePower Management
"{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}" = Intel(R) Rapid Storage Technology
"{3F4143A1-9C21-4011-8679-3BC1014C6886}" = Windows Live Mesh
"{40A66DF6-22D3-44B5-A7D3-83B118A2C0DC}" = Norton Online Backup
"{40BFD84C-64CD-42CC-9909-8734C50429C6}" = Windows Live UX Platform Language Pack
"{410DF0AA-882D-450D-9E1B-F5397ACFFA80}" = Windows Live Essentials
"{4264C020-850B-4F08-ACBE-98205D9C336C}" = Windows Live Writer
"{429DF1A0-3610-4E9E-8ACE-3C8AC1BA8FCA}" = Windows Live Photo Gallery
"{43B43577-2514-4CE0-B14A-7E85C17C0453}" = Windows Live Essentials
"{443B561F-DE1B-4DEF-ADD9-484B684653C7}" = Windows Live Messenger
"{4444F27C-B1A8-464E-9486-4C37BAB39A09}" = Фотогалерия на Windows Live
"{458F399F-62AC-4747-99F5-499BBF073D29}" = Windows Live Writer Resources
"{4664ED39-C80A-48F7-93CD-EBDCAFAB6CC5}" = Windows Live Writer Resources
"{46872828-6453-4138-BE1C-CE35FBF67978}" = Windows Live Mesh
"{4736B0ED-F6A1-48EC-A1B7-C053027648F1}" = Galeria fotogràfica del Windows Live
"{48294D95-EE9A-4377-8213-44FC4265FB27}" = Windows Live Messenger
"{488F0347-C4A7-4374-91A7-30818BEDA710}" = Galerie de photos Windows Live
"{48C0DC5E-820A-44F2-890E-29B68EDD3C78}" = Windows Live Writer
"{48F597DD-D397-4CFA-91A0-4C033A0113BD}" = Windows Live Mail
"{4A04DB63-8F81-4EF4-9D09-61A2057EF419}" = Windows Live Essentials
"{4B28D47A-5FF0-45F8-8745-11DC2A1C9D0F}" = Windows Live Writer
"{4B744C85-DBB1-4038-B989-4721EB22C582}" = Windows Live Messenger
"{4C378B16-46B7-4DA1-A2CE-2EE676F74680}" = Windows Live UX Platform Language Pack
"{4D141929-141B-4605-95D6-2B8650C1C6DA}" = Windows Live UX Platform Language Pack
"{4D83F339-5A5C-4B21-8FD3-5D407B981E72}" = Windows Live Photo Common
"{506FC723-8E6C-4417-9CFF-351F99130425}" = Windows Live UX Platform Language Pack
"{51C7AD07-C3F6-4635-8E8A-231306D810FE}" = Cisco LEAP Module
"{523DF2BB-3A85-4047-9898-29DC8AEB7E69}" = Windows Live UX Platform Language Pack
"{5275D81E-83AD-4DE4-BC2B-6E6BA3A33244}" = Windows Live Writer Resources
"{542DA303-FB91-4731-9F37-6E518368D3B9}" = Windows Live Messenger
"{5495E9A4-501A-4D4C-87C9-E80916CA9478}" = Windows Live UX Platform Language Pack
"{579684A4-DDD5-4CA3-9EA8-7BE7D9593DB4}" = Windows Live UX Platform Language Pack
"{5C2F5C1B-9732-4F81-8FBF-6711627DC508}" = Windows Live Fotogalleri
"{5CF5B1A5-CBC3-42F0-8533-5A5090665862}" = Windows Live Mesh
"{5D273F60-0525-48BA-A5FB-D0CAA4A952AE}" = Windows Live Movie Maker
"{5D2E7BD7-4B6F-4086-BA8A-E88484750624}" = Windows Live Writer Resources
"{5DA7D148-D2D2-4C67-8444-2F0F9BD88A06}" = Windows Live Writer
"{5E627606-53B9-42D1-97E1-D03F6229E248}" = Windows Live UX Platform Language Pack
"{60C3C026-DB53-4DAB-8B97-7C1241F9A847}" = Windows Live Movie Maker
"{613C0AC5-3A67-4B94-8B13-9176AD83F5BF}" = newsXpresso
"{625D45F0-5DCB-48BF-8770-C240A84DAAEB}" = Windows Live Mesh
"{62687B11-58B5-4A18-9BC3-9DF4CE03F194}" = Windows Live Writer Resources
"{63CF7D0C-B6E7-4EE9-8253-816B613CC437}" = Windows Live Mail
"{640798A0-A4FB-4C52-AC72-755134767F1E}" = Windows Live Movie Maker
"{64376910-1860-4CEF-8B34-AA5D205FC5F1}" = Poczta usługi Windows Live
"{644063FA-ABA3-42AC-A8AC-3EDC0706018B}" = Windows Live Mesh
"{6491AB99-A11E-41FD-A5E7-32DE8A097B8E}" = Windows Live Essentials
"{64B2D6B3-71AC-45A7-A6A1-2E07ABF58341}" = Windows Live Movie Maker
"{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}" = Cisco EAP-FAST Module
"{65153EA5-8B6E-43B6-857B-C6E4FC25798A}" = Intel(R) Management Engine Components
"{677AAD91-1790-4FC5-B285-0E6A9D65F7DC}" = Windows Live Mail
"{6807427D-8D68-4D30-AF5B-0B38F8F948C8}" = Windows Live Writer Resources
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{69C9C672-400A-43A0-B2DE-9DB38C371282}" = Windows Live Writer
"{69CAC24D-B1DC-4B97-A1BE-FE21843108FE}" = Windows Live Writer Resources
"{6A4ABCDC-0A49-4132-944E-01FBCCB3465C}" = Windows Live UX Platform Language Pack
"{6A67578E-095B-4661-88F7-0B199CEC3371}" = Windows Live Messenger
"{6ABE832B-A5C7-44C1-B697-3E123B7B4D5B}" = Windows Live Mesh
"{6B556C37-8919-4991-AC34-93D018B9EA49}" = Windows Live Photo Common
"{6CB36609-E3A6-446C-A3C1-C71E311D2B9C}" = Windows Live Movie Maker
"{6DEC8BD5-7574-47FA-B080-492BBBE2FEA3}" = Windows Live Movie Maker
"{6E8AFC13-F7B8-41D8-88AB-F1D0CFC56305}" = Windows Live Messenger
"{6EF2BE2C-3121-48B7-B7A6-C56046B3A588}" = Windows Live Movie Maker
"{6F37D92B-41AA-44B7-80D2-457ABDE11896}" = Windows Live Photo Common
"{70B446D1-E03B-4ab0-9B3C-0832142C9AA8}.WildTangent Games App-acer" = WildTangent Games App (Acer Games)
"{71527C7C-5289-4CB2-88C9-23344C0FF6C1}" = Windows Live Movie Maker
"{71A81378-79D5-40CC-9BDC-380642D1A87F}" = Windows Live Writer
"{71C95134-F6A9-45E7-B7B3-07CA6012BF2A}" = Windows Live Mesh
"{7272F232-A7E0-4B2B-A5D2-71B7C5E2379C}" = Windows Live Fotótár
"{7327080F-6673-421F-BBD9-B618F357EEB3}" = Windows Live UX Platform Language Pack
"{734104DE-C2BF-412F-BB97-FCCE1EC94229}" = Windows Live Writer Resources
"{7373E17D-18E0-44A7-AC3A-6A3BFB85D3B3}" = Windows Live Movie Maker
"{73FC3510-6421-40F7-9503-EDAE4D0CF70D}" = Windows Live Photo Common
"{7465A996-0FCA-4D2D-A52C-F833B0829B5B}" = Windows Live Movie Maker
"{7496FD31-E5CB-4AE4-82D3-31099558BF6A}" = Windows Live Mesh
"{74E8A7F6-575D-42C7-9178-E87D1B3BEFE8}" = Windows Live UX Platform Language Pack
"{77477AEA-5757-47D8-8B33-939F43D82218}" = Windows Live UX Platform Language Pack
"{77F69CA1-E53D-4D77-8BA3-FA07606CC851}" = Фотоальбом Windows Live
"{78906B56-0E81-42A7-AC25-F54C946E1538}" = Windows Live Photo Common
"{78DAE910-CA72-450E-AD22-772CB1A00678}" = Windows Live Mesh
"{78DBE8CE-61F6-4D6C-806C-A0FFF65F5E1D}" = Windows Live Messenger
"{7A9D47BA-6D50-4087-866F-0800D8B89383}" = Podstawowe programy Windows Live
"{7ADFA72D-2A9F-4DEC-80A5-2FAA27E23F0F}" = Windows Live Photo Common
"{7AF8E500-B349-4A77-8265-9854E9A47925}" = Windows Live Movie Maker
"{7BA19818-F717-4DFB-BC11-FAF17B2B8AEE}" = Pošta Windows Live
"{7C2A3479-A5A0-412B-B0E6-6D64CBB9B251}" = Windows Live Photo Common
"{7CB529B2-6C74-4878-9C3F-C29C3C3BBDC6}" = Windows Live Writer Resources
"{7D0DE76C-874E-4BDE-A204-F4240160693E}" = Windows Live Photo Common
"{7D1C7B9F-2744-4388-B128-5C75B8BCCC84}" = Windows Live Essentials
"{7D926AD2-16D6-42C2-8CA1-AB09E96040BA}" = Windows Live Writer Resources
"{7E017923-16F8-4E32-94EF-0A150BD196FE}" = Windows Live Writer
"{7E90B133-FF47-48BB-91B8-36FC5A548FE9}" = Windows Live Writer Resources
"{7F811A54-5A09-4579-90E1-C93498E230D9}" = Acer eRecovery Management
"{7FF11E53-C002-4F40-8D68-6BE751E5DD62}" = Windows Live Writer Resources
"{804DE397-F82C-4867-9085-E0AA539A3294}" = Windows Live Writer
"{80E8C65A-8F70-4585-88A2-ABC54BABD576}" = Windows Live Mesh
"{820D0BA3-ACD7-4FB9-A3A7-0ADF0C66A4BE}" = Windows Live Messenger
"{827D3E4A-0186-48B7-9801-7D1E9DD40C07}" = Windows Live Essentials
"{82803FF3-563F-414F-A403-8D4C167D4120}" = Windows Live Mail
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{841F1FB4-FDF8-461C-A496-3E1CFD84C0B5}" = Windows Live Mesh
"{84267681-BF16-40B6-9564-27BC57D7D71C}" = Windows Live Photo Common
"{84A411F9-40A5-4CDA-BF46-E09FBB2BC313}" = Windows Live Essentials
"{85373DA7-834E-4850-8AF5-1D99F7526857}" = Windows Live Photo Common
"{859D4022-B76D-40DE-96EF-C90CDA263F44}" = Windows Live Writer
"{861B1145-7762-4794-B40C-3FF0A389DFE6}" = Windows Live Photo Gallery
"{885F1BCD-C344-4758-85BD-09640CF449A5}" = Windows Live Photo Gallery
"{8909CFA8-97BF-4077-AC0F-6925243FFE08}" = Windows Liven asennustyökalu
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C6D6116-B724-4810-8F2D-D047E6B7D68E}" = Mesh Runtime
"{8CF5D47D-27B7-49D6-A14F-10550B92749D}" = Windows Live UX Platform Language Pack
"{8D68CE08-9A14-4B7B-9857-3C646A2F34C7}" = Fooz Kids Platform
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{8FF3891F-01B5-4A71-BFCD-20761890471C}" = Windows Live Messenger
"{90140011-0066-0407-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Deutsch
"{924B4D82-1B97-48EB-8F1E-55C4353C22DB}" = Windows Live Mail
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{93E464B3-D075-4989-87FD-A828B5C308B1}" = Windows Live Writer Resources
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"{97F77D62-5110-4FA3-A2D3-410B92D31199}" = Windows Live Fotogaléria
"{99BE7F5D-AB52-4404-9E03-4240FFAA7DE9}" = Windows Live Mesh
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BD262D0-B788-4546-A0A5-F4F56EC3834B}" = Windows Live Photo Common
"{9D56775A-93F3-44A3-8092-840E3826DE30}" = Windows Live Mail
"{9DA3F03B-2CEE-4344-838E-117861E61FAF}" = Windows Live Mail
"{9DB90178-B5B0-45BD-B0A7-D40A6A1DF1CA}" = Windows Live Movie Maker
"{9FAE6E8D-E686-49F5-A574-0A58DFD9580C}" = Windows Live Mail
"{A0382E3C-7384-429A-9BFA-AF5888E5A193}" = Acer Crystal Eye Webcam
"{A0B91308-6666-4249-8FF6-1E11AFD75FE1}" = Windows Live Mail
"{A0C91188-C88F-4E86-93E6-CD7C9A266649}" = Windows Live Mesh
"{A101F637-2E56-42C0-8E08-F1E9086BFAF3}" = Windows Live Movie Maker
"{A199DB88-E22D-4CE7-90AC-B8BE396D7BF4}" = Windows Live Movie Maker
"{A3389C72-1782-4BB4-BBAA-33345DE52E3F}" = Windows Live Messenger
"{A3AD65CC-B2CE-49da-AE4E-CC2ECF4EC0F8}" =  clear.fi SDK - MVP 2
"{A41A708E-3BE6-4561-855D-44027C1CF0F8}" = Windows Live Photo Common
"{A60B3BF0-954B-42AF-B8D8-2C1D34B613AA}" = Windows Live Photo Gallery
"{A7056D45-C63A-4FE4-A69D-FB54EF9B21BB}" = Windows Live Messenger
"{A726AE06-AAA3-43D1-87E3-70F510314F04}" = Windows Live Writer
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}" = Windows Live Writer
"{AAF454FC-82CA-4F29-AB31-6A109485E76E}" = Windows Live Writer
"{AB0B2113-5B96-4B95-8AD1-44613384911F}" = Windows Live Mesh
"{AB61A2E9-37D3-485D-9085-19FBDF8CEF4A}" = Windows Live Messenger
"{AB78C965-5C67-409B-8433-D7B5BDB12073}" = Windows Live Writer Resources
"{ABD534B7-E951-470E-92C2-CD5AF1735726}" = Windows Live Essentials
"{ABE2F2AA-7ADC-4717-9573-BF3F83C696AC}" = Windows Live Mail
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.0) MUI
"{ACFBE99B-6981-4513-B17E-A2683CEB9EE5}" = Windows Live Mesh
"{AD001A69-88CC-4766-B2DB-3C1DFAB9AC72}" = Windows Live Mesh
"{ADE85655-8D1E-4E4B-BF88-5E312FB2C74F}" = Windows Live Mail
"{ADFE4AED-7F8E-4658-8D6E-742B15B9F120}" = Windows Live Photo Common
"{AF01B90A-D25C-4F60-AECD-6EEDF509DC11}" = Windows Live Mesh
"{AFF7E080-1974-45BF-9310-10DE1A1F5ED0}" = Adobe AIR
"{B0AD205F-60D0-4084-AFB8-34D9A706D9A8}" = Windows Live Essentials
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B1239994-A850-44E2-BED8-E70A21124E16}" = Windows Live Mail
"{B26438B4-BF51-49C3-9567-7F14A5E40CB9}" = Dolby Home Theater v4
"{B2BCA478-EC0F-45EE-A9E9-5EABE87EA72D}" = Windows Live Photo Common
"{B2E90616-C50D-4B89-A40D-92377AC669E5}" = Windows Live Messenger
"{B33B61FE-701F-425F-98AB-2B85725CBF68}" = Windows Live Photo Common
"{B3BE54A4-8DFE-4593-8E66-56AB7133B812}" = Windows Live Writer
"{B5AD89F2-03D3-4206-8487-018298007DD0}" = clear.fi Photo
"{B618C3BF-5142-4630-81DD-F96864F97C7E}" = Windows Live Essentials
"{B63F0CE3-CCD0-490A-9A9C-E1A3B3A17137}" = Почта Windows Live
"{B7B67AA5-12DA-4F01-918D-B1BF66779D8A}" = Windows Live Writer Resources
"{BAEE89D5-6E87-4F89-9603-A1C100479181}" = Windows Live Messenger
"{BD0C3887-64E6-41D8-9A38-BC6F34369352}" = Windows Live Messenger
"{BD4EBDB5-EB14-4120-BB04-BE0A26C7FB3E}" = Windows Live Photo Common
"{BD695C2F-3EA0-4DA4-92D5-154072468721}" = Windows Live Fotoğraf Galerisi
"{BF022D76-9F72-4203-B8FA-6522DC66DFDA}" = Windows Live Movie Maker
"{BF35168D-F6F9-4202-BA87-86B5E3C9BF7A}" = Windows Live Mesh
"{BFC47A0B-D487-4DF0-889E-D6D392DF31E0}" = Windows Live Messenger
"{C00C2A91-6CB3-483F-80B3-2958E29468F1}" = Συλλογή φωτογραφιών του Windows Live
"{C01FCACE-CC3D-49A2-ADC2-583A49857C58}" = Windows Live Essentials
"{C08D5964-C42F-48EE-A893-2396F9562A7C}" = Windows Live Mesh
"{C1C9D199-B4DD-4895-92DD-9A726A2FE341}" = Windows Live Writer
"{C2695E83-CF1D-43D1-84FE-B3BEC561012A}" = Shredder
"{C28D96C0-6A90-459E-A077-A6706F4EC0FC}" = Bing Bar
"{C29FC15D-E84B-4EEC-8505-4DED94414C59}" = Windows Live Writer Resources
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C454280F-3C3E-4929-B60E-9E6CED5717E7}" = Windows Live Mail
"{C66824E4-CBB3-4851-BB3F-E8CFD6350923}" = Windows Live Mail
"{C8421D85-CA0E-4E93-A9A9-B826C4FB88EA}" = Windows Live Mail
"{C893D8C0-1BA0-4517-B11C-E89B65E72F70}" = Windows Live Photo Common
"{C95A5A77-622F-45CA-9540-84468FCB18B1}" = Windows Live Messenger
"{C9E1343D-E21E-4508-A1BE-04A089EC137D}" = Windows Live Messenger
"{CB3F59BB-7858-41A1-A7EA-4B8A6FC7D431}" = Galeria fotografii usługi Windows Live
"{CB66242D-12B1-4494-82D2-6F53A7E024A3}" = Galerie foto Windows Live
"{CB7224D9-6DCA-43F1-8F83-6B1E39A00F92}" = Windows Live Movie Maker
"{CBFD061C-4B27-4A89-ADD8-210316EEFA11}" = Windows Live Messenger
"{CD442136-9115-4236-9C14-278F6A9DCB3F}" = Windows Live Movie Maker
"{CD7CB1E6-267A-408F-877D-B532AD2C882E}" = Windows Live Photo Common
"{CDC39BF2-9697-4959-B893-A2EE05EF6ACB}" = Windows Live Writer
"{CE929F09-3853-4180-BD90-30764BFF7136}" = גלריית התמונות של Windows Live
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{CF671BFE-6BA3-44E7-98C1-500D9C51D947}" = Windows Live Photo Gallery
"{D07B1FDA-876B-4914-9E9A-309732B6D44F}" = Windows Live Mail
"{D0B44725-3666-492D-BEF6-587A14BD9BD9}" = MSVCRT_amd64
"{D299197D-CDEA-41A6-A363-F532DE4114FD}" = Windows Live UX Platform Language Pack
"{D31169F2-CD71-4337-B783-3E53F29F4CAD}" = Windows Live Mail
"{D3D5C4E8-040F-4C6F-8105-41D43CF94F44}" = NTI Media Maker 9
"{D3E5A972-9A15-427D-AE78-8181A5FD943C}" = eBay Worldwide
"{D436F577-1695-4D2F-8B44-AC76C99E0002}" = Windows Live Photo Common
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{D588365A-AE39-4F27-BDAE-B4E72C8E900C}" = Windows Live Mail
"{D6CBB3B2-F510-483D-AE0D-1CF3F43CF1EE}" = Windows Live Writer Resources
"{D6F25CF9-4E87-43EB-B324-C12BE9CDD668}" = Windows Live UX Platform Language Pack
"{DA29F644-2420-4448-8128-1331BE588999}" = Windows Live Writer
"{DAEF48AD-89C8-4A93-B1DD-45B7E4FB6071}" = Windows Live Movie Maker
"{DAF7BB88-6392-40aa-A714-8392C4BDBD2C}" =  clear.fi SDK- Movie 2
"{DB1208F4-B2FE-44E9-BFE6-8824DBD7891B}" = Windows Live Movie Maker
"{DBAA2B17-D596-4195-A169-BA2166B0D69B}" = Windows Live Mail
"{DCAB6BA7-6533-44BF-9235-E5BF33B7431C}" = Windows Live Writer
"{DDC1E1BD-7615-4186-89E1-F5F43F9B6491}" = Windows Live Movie Maker
"{DDC8BDEE-DCAC-404D-8257-3E8D4B782467}" = Windows Live Writer Resources
"{DE7C13A6-E4EA-4296-B0D5-5D7E8AD69501}" = Windows Live Writer
"{DE8F99FD-2FC7-4C98-AA67-2729FDE1F040}" = Windows Live Writer Resources
"{DECDCB7C-58CC-4865-91AF-627F9798FE48}" = Windows Live Mesh
"{DEF91E0F-D266-453D-B6F2-1BA002B40CB6}" = Windows Live Essentials
"{DF71ABBB-B834-41C0-BB58-80B0545D754C}" = Windows Live UX Platform Language Pack
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E3739848-5329-48E3-8D28-5BBD6E8BE384}" = CyberLink MediaEspresso
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{E5377D46-83C5-445A-A1F1-830336B42A10}" = Windows Live Galerija fotografija
"{E55E0C35-AC3C-4683-BA2F-834348577B80}" = Windows Live Writer
"{E59969EA-3B5B-4B24-8B94-43842A7FBFE9}" = Fotogalerija Windows Live
"{E5B21F11-6933-4E0B-A25C-7963E3C07D11}" = Windows Live Messenger
"{E5DD4723-FE0B-436E-A815-DC23CF902A0B}" = Windows Live UX Platform Language Pack
"{E62E0550-C098-43A2-B54B-03FB1E634483}" = Windows Live Writer
"{E727A662-AF9F-4DEE-81C5-F4A1686F3DFC}" = Windows Live Writer Resources
"{E83DC314-C926-4214-AD58-147691D6FE9F}" = Основные компоненты Windows Live
"{E8524B28-3BBB-4763-AC83-0E83FE31C350}" = Windows Live Writer
"{E85A4EFC-82F2-4CEE-8A8E-62FDAD353A66}" = Galería fotográfica de Windows Live
"{E9AD2143-26D5-4201-BED1-19DCC03B407D}" = Windows Live Messenger
"{E9AF1707-3F3A-49E2-8345-4F2D629D0876}" = clear.fi Media
"{E9D98402-21AB-4E9F-BF6B-47AF36EF7E97}" = Windows Live Writer Resources
"{EA777812-4905-4C08-8F6E-13BDCC734609}" = Windows Live UX Platform Language Pack
"{ED16B700-D91F-44B0-867C-7EB5253CA38D}" = Raccolta foto di Windows Live
"{ED5776D5-59B4-46B7-AF81-5F2D94D7C640}" = Cisco PEAP Module
"{EE171732-BEB4-4576-887D-CB62727F01CA}" = Acer Updater
"{EEF99142-3357-402C-B298-DEC303E12D92}" = Windows Live 影像中心
"{EF7EAB13-46FC-49DD-8E3C-AAF8A286C5BB}" = Windows Live 程式集
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Processor Graphics
"{F0F5D89A-197C-495B-827E-3E98B811CD2E}" = Windows Live Photo Common
"{F0F9505B-3ACF-4158-9311-D0285136AA00}" = Windows Live Essentials
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2979AAA-FDD7-4CB3-93BC-5C24D965D679}" = Windows Live Messenger
"{F35DC85A-E96B-496B-ABE7-F04192824856}" = Windows Live Messenger
"{F4BEA6C1-AAC3-4810-AAEA-588E26E0F237}" = Windows Live UX Platform Language Pack
"{F52C5BE7-3F57-464E-8A54-908402E43CE8}" = Windows Live Writer Resources
"{F77EF646-19EB-11E1-9A9E-984BE15F174E}" = Evernote v. 4.5.2
"{F783464C-C7C6-4E9B-AC40-BC90E5414BAF}" = Windows Live Messenger
"{F7A46527-DF1F-4B0F-9637-98547E189442}" = Windows Live Galeria de Fotos
"{F7E80BA7-A09D-4DD1-828B-C4A0274D4720}" = Windows Live Mesh
"{F80E5450-3EF3-4270-B26C-6AC53BEC5E76}" = Windows Live Movie Maker
"{F8A9085D-4C7A-41a9-8A77-C8998A96C421}" = Intel(R) Control Center
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{FA6CF94F-DACF-4FE7-959D-55C421B91B17}" = Windows Live Mail
"{FB3D07AE-73D0-47A9-AC12-6F50BF8B6202}" = Windows Live Movie Maker
"{FB79FDB7-4DE1-453D-99FE-9A880F57380E}" = Windows Live Fotogalerie
"{FBCA06D2-4642-4F33-B20A-A7AB3F0D2E69}" = معرض صور Windows Live
"{FCB3772C-B7D0-4933-B1A9-3707EBACC573}" = Intel(R) OpenCL CPU Runtime
"{FCDB0EF3-673C-FDCE-6498-750F51391660}" = Fooz Kids
"{FCDE76CB-989D-4E32-9739-6A272D2B0ED7}" = Windows Live Mesh
"{FE044230-9CA5-43F7-9B58-5AC5A28A1F33}" = Windows Live Essentials
"{FE62C88B-425B-4BDE-8B70-CD5AE3B83176}" = Windows Live Essentials
"{FEEF7F78-5876-438B-B554-C4CC426A4302}" = Windows Live Essentials
"{FF105207-8423-4E13-B0B1-50753170B245}" = Windows Live Movie Maker
"{FF3DFA01-1E98-46B4-A065-DA8AD47C9598}" = Windows Live Movie Maker
"{FF737490-5A2D-4269-9D82-97DB2F7C0B09}" = Windows Live Movie Maker
"{FFFA0584-8E3D-4195-8283-CCA3AD73C746}" = Windows Live Messenger
"7-Zip" = 7-Zip 9.20
"Acer Registration" = Acer Registration
"Acer Screensaver" = Acer ScreenSaver
"Acer Welcome Center" = Welcome Center
"Adobe AIR" = Adobe AIR
"FoozKids" = Fooz Kids
"Identity Card" = Identity Card
"ImgBurn" = ImgBurn
"InstallShield_{0B61BBD5-DA3C-409A-8730-0C3DC3B0F270}" = Acer Backup Manager
"InstallShield_{17DF9714-60C9-43C9-A9C2-32BCAED44CBE}" = MyWinLocker Suite
"InstallShield_{613C0AC5-3A67-4B94-8B13-9176AD83F5BF}" = newsXpresso
"InstallShield_{A0382E3C-7384-429A-9BFA-AF5888E5A193}" = Acer Crystal Eye Webcam
"InstallShield_{D3D5C4E8-040F-4C6F-8105-41D43CF94F44}" = NTI Media Maker 9
"InstallShield_{E3739848-5329-48E3-8D28-5BBD6E8BE384}" = CyberLink MediaEspresso
"Kobo" = Kobo
"LManager" = Launch Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.1.1000
"Mobile Partner" = Mobile Partner
"MSC" = McAfee Internet Security Suite
"Office14.Click2Run" = Microsoft Office Klick-und-Los 2010
"WildTangent acer Master Uninstall" = Acer Games
"WinLiveSuite" = Windows Live Essentials
"WTA-16a6fa13-60c6-460f-9c3c-5d02d6fbdb2f" = Zuma Deluxe
"WTA-19e76d92-7f59-4c7c-a939-082a4b83e6a7" = Jewel Match 3
"WTA-5cbe3d5e-22ce-4f27-9398-48e8888b04d2" = Jewel Quest Mysteries: The Seventh Gate Collector's Edition
"WTA-5e91b6cc-911d-476a-9ff3-71b198de0399" = Agatha Christie - Death on the Nile
"WTA-68a297ce-d5e3-4532-95f9-8268d5bcef30" = Wedding Dash
"WTA-8d8857b4-09a8-4f2d-a6d0-10d139f03905" = Plants vs. Zombies - Game of the Year
"WTA-98d2558a-c395-45cd-a89e-fc3e53f6cbf9" = John Deere Drive Green
"WTA-a0f37891-c619-4dfd-9863-6156df6749c6" = Torchlight
"WTA-ab426d86-5b2f-4491-87a5-e7cad325db37" = Polar Bowler
"WTA-b204f93b-ee80-4f56-9a3f-25999bd1988b" = Chuzzle Deluxe
"WTA-b4fc50b0-874c-440a-92a9-4067b30d715c" = Virtual Villagers 4 - The Tree of Life
"WTA-bbb56e5f-c5ff-456c-a0c4-ccd356745e92" = Insaniquarium Deluxe
"WTA-bdf2677f-0e74-4bcc-8f3b-412688aff030" = Slingo Deluxe
"WTA-d21eeac4-74c5-4511-960e-a0cc8bd59276" = FATE
"WTA-d29c65c0-1abf-4854-9699-36f85b483c2e" = Final Drive: Nitro
"WTA-e180f6c2-30f7-469c-ac14-5c9e5204fbc9" = Bejeweled 3
"WTA-f7bc4f6a-a3d9-47a9-b841-60a08e24558c" = Penguins!
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 29.01.2013 03:30:26 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.01.2013 03:44:26 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.01.2013 05:17:31 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.01.2013 05:24:46 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.01.2013 09:07:49 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.01.2013 09:49:31 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.01.2013 12:34:44 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
Error - 01.02.2013 02:02:57 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
Error - 01.02.2013 05:26:54 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
Error - 01.02.2013 05:28:20 | Computer Name = abcd | Source = WinMgmt | ID = 10
Description = 
 
[ Broadcom Wireless LAN Events ]
Error - 27.01.2013 14:44:46 | Computer Name = abcd | Source = WLAN-Tray | ID = 0
Description = 19:44:44, Sun, Jan 27, 13 Error - Unable to gain access to user store

 
Error - 28.01.2013 09:00:50 | Computer Name = abcd | Source = WLAN-Tray | ID = 0
Description = 14:00:44, Mon, Jan 28, 13 Error - Unable to gain access to user store

 
Error - 28.01.2013 09:01:53 | Computer Name = abcd | Source = WLAN-Tray | ID = 0
Description = 14:01:47, Mon, Jan 28, 13 Error - Unable to gain access to user store

 
[ System Events ]
Error - 27.01.2013 08:37:19 | Computer Name = abcd | Source = Disk | ID = 262159
Description = Das Gerät \Device\Harddisk1\DR6 ist für den Zugriff noch nicht bereit.
 
Error - 27.01.2013 08:37:54 | Computer Name = abcd | Source = Disk | ID = 262159
Description = Das Gerät \Device\Harddisk1\DR7 ist für den Zugriff noch nicht bereit.
 
 
< End of report >
         

Alt 01.02.2013, 13:31   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Zitat:
ja, ich habe im Post auch schon gefragt, ob es sich um einen Trojaner im Bios handeln könnte,
Ist ziemlich unwahrscheinlich. Mir ist noch kein derartiger Fall untergekommen

Zitat:
Er wusste die ganze Zeit über, welche Seiten ich mir im Internet anschaue, welche anonymen Accounts ich mir anlege usw.
Falls da was auf deinem Rechner aktiv war hast du jetzt keine Möglichkeit mehr dahinterzukommen. Du hast alle möglichen Spuren durch das zigmalige Formatieren und so vernichtet.

Zitat:
dass sofort nach einem Neuaufsetzen von Windows mein Internet „blockiert“ wird.
Das ist so nicht nachvollziehbar
Aus welchen Quellen stammen deine Windows-Installations-DVDs? Oder hast du nur die selbstgebrannte Recovery?
Welche Software hast du direkt nach der Windows-Installation installiert? Aus welchen Quellen?

Hast du einen Router? Wenn ja welchen genau? Ist da die Firmware aktuell?
WLAN? Wenn ja wie ist das verschlüsselt, hat dein mutmaßlicher Stalker den WLAN-Schlüssel dazu oder wurde der Schlüssel von dir geändert?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.02.2013, 12:48   #10
Lydia33
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Hallo Cosinus,

ja mir ist das auch noch nicht vorgekommen.
Ich muss sagen , als ich kurz über Mebromi gelesen hatte, dachte ich beim lesen der "Symptome", genau so etwas wird d'rauf sein. (wie gesagt, die Story ist lang und gehört nicht hierher, ist eher einen richtig schlechten Roman wert. Aber seine Andeutungen von damals weisen auch auf so etwas (tiefgehendes und resistentes) wie Mebromi hin. Das ganze ist sehr extrem, derjenige hat alle Register gezogen, zudem er ist hochintelligent - wobei Zerstören ja einfacher ist, als einen Schaden zu beheben, aber dazu jetzt nix mehr getreu dem Motto: don't feed the troll).

Ich hatte ja erwähnt, auch ein anderer Familienrechner (jedoch XP) ist auch betroffen, dort findet ähnliches statt. Mein alter Laptop, den ich ursprünglich nutzte, ist leider inzwischen auch nicht mehr funktionstüchtig (war 5 Jahre alt).

Ich habe leider formatiert, weil dies ja normalerweise eine sichere Lösung ist. Das einzige, was vielleicht ein Hinweis wäre, ist das Protokoll von Bitdefender, falls der Prozess erst damals stattgefunden hat (ca. 30.11.) Ja ich musste ja leider gleich zu "harten" Methoden greifen, da er direkt in mein System eingegriffen hat, einen Treiber gelöscht, als ich online war und das gerade frisch herausbekommen hatte bzw ihn dann darauf angesprochen hatte. Ich hatte kein Internetcafe in der Nähe, um erst mal nachzufragen ect. Ich hatte auch keine Knoppix CD, das habe ich mir alles danach besorgt, ich hatte damals keine Ahnung von diesen Möglichkeiten.

Ja, ich habe die Original Recovery DVD's, welche ich auch noch mal von Acer bestellte hatte, da meine damals erst nach 2 Wochen gebrannt wurden.

Ich nutze nur einen Internetdatenstick (von Lidl), ich bin zur zeit auf dem Land und hier gibt es ansonsten nur ISDN/analoges Internet. Ich kann mit dem Stick Downloaden, es dauert halt nur etwas.. bzw ich kann auch ins Internetcafe um etwas sehr großes downzuloaden, was weiter weg ist, aber an sich problemlos möglich ist.

Geändert von Lydia33 (02.02.2013 um 13:17 Uhr)

Alt 02.02.2013, 16:26   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Mebromi hinterlässt seine Spuren im MBR. Wenn dort nix zu sehen ist wirst du aohl auch keinen Mebromi drauf haben abgesehen davon, dass ich das für mehr als unwahrscheinlich halte, dass dein Rechner und ein anderer Rechner in der Familie auch betroffen sein sein.

Du hast aswMBR ja auch schon drauf, wo ist das Log dazu?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.02.2013, 19:22   #12
Lydia33
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Code:
ATTFilter
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-03 19:39:57
-----------------------------
19:39:57.619    OS Version: Windows x64 6.1.7601 Service Pack 1
19:39:57.619    Number of processors: 4 586 0x3A09
19:39:57.619    ComputerName: ABCD  UserName: 
19:39:59.803    Initialize success
19:40:53.707    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
19:40:53.707    Disk 0 Vendor: Hitachi_ JE4O Size: 715404MB BusType: 3
19:40:53.754    Disk 0 MBR read successfully
19:40:53.754    Disk 0 MBR scan
19:40:53.754    Disk 0 Windows 7 default MBR code
19:40:53.770    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        20480 MB offset 2048
19:40:53.785    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 41945088
19:40:53.832    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       694822 MB offset 42149888
19:40:53.879    Disk 0 scanning C:\Windows\system32\drivers
19:41:05.173    Service scanning
19:41:31.569    Modules scanning
19:41:31.569    Disk 0 trace - called modules:
19:41:31.584    
19:41:31.584    Scan finished successfully
19:41:51.209    Disk 0 MBR has been saved successfully to "C:\Users\admin\Documents\MBR.dat"
19:41:51.209    The log file has been saved successfully to "C:\Users\admin\Documents\aswMBR.txt"
         
noch die beiden anderen Computer:

Computer 1
frisch neu installiert:
Code:
ATTFilter
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-03 20:12:59
-----------------------------
20:12:59.734    OS Version: Windows 5.1.2600 Service Pack 3
20:12:59.734    Number of processors: 1 586 0x801
20:12:59.734    ComputerName: H-95081F6D44C74  UserName: aaaaa
20:12:59.953    Initialize success
20:13:02.656    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
20:13:02.656    Disk 0 Vendor: Maxtor_6Y160P0 YAR41BW0 Size: 156333MB BusType: 3
20:13:02.656    Disk 0 MBR read successfully
20:13:02.656    Disk 0 MBR scan
20:13:02.656    Disk 0 Windows XP default MBR code
20:13:02.656    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        79705 MB offset 63
20:13:02.656    Disk 0 Partition - 00     05     Extended             76627 MB offset 163237886
20:13:02.671    Disk 0 Partition 2 00     83        Linux             76116 MB offset 163237888
20:13:02.671    Disk 0 Partition - 00     05     Extended               511 MB offset 319123456
20:13:02.687    Disk 0 scanning sectors +320169984
20:13:02.734    Disk 0 scanning C:\WINDOWS\system32\drivers
20:13:07.796    Service scanning
20:13:12.703    Modules scanning
20:13:16.531    Disk 0 trace - called modules:
20:13:17.031    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
20:13:17.031    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x81f38ab8]
20:13:17.031    3 CLASSPNP.SYS[f8576fd7] -> nt!IofCallDriver -> \Device\00000058[0x81f0c2a0]
20:13:17.031    5 ACPI.sys[f84ec620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x81fcf940]
20:13:17.031    Scan finished successfully
20:13:23.703    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\aaaaa\Eigene Dateien\MBR.dat"
20:13:23.703    The log file has been saved successfully to "C:\Dokumente und Einstellungen\aaaaa\Eigene Dateien\aswMBR2.txt"
         
Computer 2, dieser war gleich nach Ansteckung mit dem Wurm (von dem ich nichts gewußt hatte) nur einmal für 2 h online, während der Zeit wurde eine Datei von außen gelöscht (bzw unsichtbar gemacht), alles ist seit dem (August) noch im Originalzustand, Scans mit der vorhandenen Avira free Antivirus zeigen: WORM/Kido.IX und APPL/NstallIQ.Gen5 (Nb (Überträger auf externen Festplatte war der Downloader.Generic10.AGXJ, diesen hatte ich mir damals notiert.

Code:
ATTFilter
Run date: 2013-02-03 20:26:19
-----------------------------
20:26:19.156    OS Version: Windows 5.1.2600 Service Pack 3
20:26:19.156    Number of processors: 2 586 0xE08
20:26:19.156    ComputerName: USER-C3770168A4  UserName: Computer
20:26:19.734    Initialize success
20:26:23.156    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
20:26:23.156    Disk 0 Vendor: HITACHI_HTS541660J9SA00 SBBIC7EP Size: 57231MB BusType: 3
20:26:23.171    Disk 0 MBR read successfully
20:26:23.171    Disk 0 MBR scan
20:26:23.171    Disk 0 Windows XP default MBR code
20:26:23.171    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        57231 MB offset 63
20:26:23.171    Disk 0 scanning sectors +117210240
20:26:23.390    Disk 0 scanning C:\WINDOWS\system32\drivers
20:26:33.953    Service scanning
20:26:48.531    Modules scanning
20:26:56.093    Disk 0 trace - called modules:
20:26:56.125    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
20:26:56.125    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86c9bab8]
20:26:56.125    3 CLASSPNP.SYS[f753dfd7] -> nt!IofCallDriver -> \Device\0000007f[0x86d4af18]
20:26:56.125    5 ACPI.sys[f73d3620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86da59c8]
20:26:56.125    Scan finished successfully
20:27:14.890    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Computer\Eigene Dateien\MBR.dat"
20:27:14.890    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Computer\Eigene Dateien\aswMBRawlap.txt"
         

Geändert von Lydia33 (03.02.2013 um 19:55 Uhr)

Alt 03.02.2013, 22:55   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Zitat:
Scans mit der vorhandenen Avira free Antivirus zeigen: WORM/Kido.IX und APPL/NstallIQ.Gen5 (Nb (Überträger auf externen Festplatte war der Downloader.Generic10.AGXJ, diesen hatte ich mir damals notiert.
Logs dazu??
Und bitte keine Log von mehreren Rechnern hier posten, es wir einfach zu unübersichtlich, wenn machst du bitte für jeden Rechnern auch einen separaten Strang auf.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.02.2013, 10:52   #14
Lydia33
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Das werde ich tun, danke. Die Scans mit aswMBR scheinen nichts gefunden zu haben, das hab ich gestern auch schon vermutet. Meinen Laptop betreffend: ich hatte ja vor der letzten Neuinstallation mit Combofix 'etwas' entfernt. Ich habe gestern zudem noch mit dem RogueKiller gescannt, welcher auch nichts anzeigt. Es scheint, also dass mein Computer vielleicht doch inzwischen sauber sein kann, schön wäre es ja! Vielleicht sollte ich einmal einfach per Wlan an einem öffentliche Ort testen, wie gut das Internet läuft.

Eine Frage, die ich noch habe: warum kann ich mit GMER nur die Felder Service, Registry und Files anhaken, auf die anderen habe ich mit diesen Computer im Gegensatz zu den Computern anderen keinen Zugriff. Zudem zeigt GMER unter System 32 unheimlich viele verborgene Prozesse an , ist das normal?

Alt 04.02.2013, 10:59   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Standard

Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems



Von welchem GMER Log genau ist da die Rede?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems
alter laptop, amerika, ausspioniert, avira, begrenztes internet, betriebssystem windows 7, bildschirm, blockiert, browser, combofix, computer, computern, datei gelöscht, diagnostics, dringend, erste mal, f.txt, festplatte, hijack, hijackthis, homepage, infiziert., kunde, kundenservice, log-datei, maleware, memory management, neu aufsetzen, nicht möglich, senden, software, software entfernen, system, system 32, system neu, taskmanager, trj/deldir.a, trojaner, updates, viele prozesse, virus, warum, windows, windows xp, zone alarm, ändern



Ähnliche Themen: Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems


  1. Können hartnäckige rootkits Eingabe/Ausgabe- Laufwerksfehler produzieren?
    Diskussionsforum - 08.05.2015 (6)
  2. Cidox.A trotz Formatieren und Neuaufsetzen noch da
    Log-Analyse und Auswertung - 29.07.2014 (8)
  3. trotz Neuaufsetzen des Systems: Iexplore.exe im Taskmanager
    Plagegeister aller Art und deren Bekämpfung - 26.02.2013 (26)
  4. Trotz Neuaufsetzen des Systems: mehrere Iexplore.exe Prozesse im Taskmanager
    Alles rund um Windows - 25.02.2013 (4)
  5. Neuaufsetzen des Systems wie vorbereiten und durchführen?
    Alles rund um Windows - 26.03.2011 (7)
  6. tr crypt.xpack.gen - Problem beim Neuaufsetzen des Systems
    Plagegeister aller Art und deren Bekämpfung - 06.07.2009 (0)
  7. Welche Tools nach neuaufsetzen des Systems?
    Antiviren-, Firewall- und andere Schutzprogramme - 07.06.2009 (0)
  8. Fragen zur Anleitung: Neuaufsetzen des Systems + Absicherung
    Antiviren-, Firewall- und andere Schutzprogramme - 17.01.2009 (5)
  9. Neuaufsetzen des Systems -> Absicherung
    Lob, Kritik und Wünsche - 06.04.2008 (5)
  10. Anleitung: Neuaufsetzen des Systems mit Windows 10/11
    Anleitungen, FAQs & Links - 01.04.2008 (0)
  11. Neuaufsetzen des Systems (Windows XP)
    Log-Analyse und Auswertung - 07.10.2007 (15)
  12. Partitionieren bei Neuaufsetzen des Systems
    Alles rund um Windows - 08.03.2007 (7)
  13. Probleme nach Neuaufsetzen des Systems
    Alles rund um Windows - 14.04.2006 (6)
  14. Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung!
    Mülltonne - 22.11.2005 (1)
  15. 2 Fragen zum Neuaufsetzen des Systems
    Log-Analyse und Auswertung - 25.07.2005 (0)
  16. Trojaner trotz Neuaufsetzen des Systems
    Plagegeister aller Art und deren Bekämpfung - 21.06.2005 (12)
  17. Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung!
    Archiv - 01.10.2004 (0)

Zum Thema Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems - Hallo, ich brauche dringend Hilfe, wofür ich mich schon im Voraus herzlich bedanke. Ich werde versuchen, den chronologischen Ablauf des Sachverhaltes zu schildern, das wird leider etwas länger dauern, aber - Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems...
Archiv
Du betrachtest: Hartnäckige Maleware bzw. Rootkits trotz Formatieren und Neuaufsetzen des Systems auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.