Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kann Trojaner (Fake Polizeisperre) nicht entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.08.2011, 20:27   #1
Anna_kuchen
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Hallo erstmal.
Also es ist so:
Ich habe mir diesen Trojaner eingefangen
Habe hier darüber schon gelesen:
h**p://www.pcgameshardware.de/aid,818411/Vorsicht-Falle-Trojaner-tarnt-sich-als-offizielle-Mitteilung-des-Bundeskriminalamtes/Sicherheit/News/

Ich habe im abgesichtertem Modus mit Malwarebytes einen Vollständigen Scan gemacht und alles entfernen lassen aber er kam immer wieder. Das hab ich jetzt schon dreimal insegesamt gemacht aber ganz verschwindet er nie und deswegen brauche ich Hilfe.

Ich habe Windows Vsta und hier sind die Systeminformationen:
Zitat:
Betriebssystemname Microsoft® Windows Vista™ Home Premium
Version 6.0.6001 Service Pack 1 Build 6001
Zusätzliche Betriebssystembeschreibung Nicht verfügbar
Betriebssystemhersteller Microsoft Corporation
Systemname ***
Systemhersteller Acer
Systemmodell Aspire X3200
Systemtyp X86-basierter PC
Prozessor AMD Athlon(tm) Dual Core Processor 4450e, 2300 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum Phoenix Technologies, LTD R01-B0, 30.10.2008
SMBIOS-Version 2.5
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume2
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.0.6001.18000"
Benutzername ***\***
Zeitzone Mitteleuropäische Sommerzeit
Installierter physikalischer Speicher (RAM) 4,00 GB
Gesamter realer Speicher 2,75 GB
Verfügbarer realer Speicher 2,00 GB
Gesamter virtueller Speicher 5,70 GB
Verfügbarer virtueller Speicher 5,13 GB
Größe der Auslagerungsdatei 3,04 GB
Auslagerungsdatei C:\pagefile.sys

Alt 31.08.2011, 18:01   #2
Swisstreasure
/// Malwareteam
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.
__________________


Alt 01.09.2011, 02:05   #3
Anna_kuchen
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Erstmal Danke dass du mir hilfst ~

Und ich habe jetzt erstmal gemacht was du geschrieben hast und hier ist die shell.txt die auf meinem USB Stick war

Zitat:
WIN_VISTA X86

HKLM\..\Winlogon; Shell = explorer.exe
No action taken
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run[Windows Defender] = %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\..\Run[Acer Empowering Technology Monitor] = C:\Program Files\Acer\Empowering Technology\SysMonitor.exe
HKLM\..\Run[EmpoweringTechnology] = C:\Program Files\Acer\Empowering Technology\Framework.Launcher.exe boot
HKLM\..\Run[eDataSecurity Loader] = C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
HKLM\..\Run[PCMMediaSharing] = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
HKLM\..\Run[Adobe Reader Speed Launcher] = "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM\..\Run[BkupTray] = "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
HKLM\..\Run[WarReg_PopUp] = C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
HKLM\..\Run[NvCplDaemon] = RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\..\Run[NvMediaCenter] = RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
HKLM\..\Run[SunJavaUpdateSched] = "C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM\..\Run[CanonSolutionMenu] = C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
HKLM\..\Run[CanonMyPrinter] = C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
HKLM\..\Run[AppleSyncNotifier] = C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
HKLM\..\Run[MacrokeyManager] = WTMKM.exe
HKLM\..\Run[Malwarebytes' Anti-Malware (reboot)] = "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
HKLM\..\Run[QuickTime Task] = "C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM\..\Run[iTunesHelper] = "C:\Program Files\iTunes\iTunesHelper.exe"
HKLM\..\Run[Malwarebytes' Anti-Malware] = "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
HKLM\..\Run[] =
HKLM\..\Run[SearchSettings] = "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"

HKCU\..\Run[swg] = "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKCU\..\Run[ehTray.exe] = C:\Windows\ehome\ehTray.exe
HKCU\..\Run[Google Update] = "C:\Users\Anna\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKCU\..\Run[EA Core] = "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent

HKU\.DEFAULT\Winlogon; Shell =
HKU\S-1-5-19\Winlogon; Shell =
HKU\S-1-5-20\Winlogon; Shell =
HKU\S-1-5-21-585210845-3960999194-72264236-1000\Winlogon; Shell =
HKU\S-1-5-21-585210845-3960999194-72264236-1000_Classes\Winlogon; Shell =
HKU\S-1-5-18\Winlogon; Shell =
__________________

Alt 01.09.2011, 14:51   #4
Swisstreasure
/// Malwareteam
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Kannst Du das System normal starten? Wenn ja dann mach folgendes:

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Alt 01.09.2011, 21:44   #5
Anna_kuchen
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Also erstens gab es eine Fehlermeldung von Windows während des Scans
Zitat:
Windows - Kein Datenträger
Exeption Processing Message 0x0000013 Parameters 0x759E92A0 0x00000004 0x759E92A0 0x759E92A0
Ich habe bei der Fehlermeldung erstmal auf Abrechen geclickt und den Scan sonst weiterlaufen lassen.
Und zweitens hat OTL nur ein OTL.txt erstellt und keine Extra.txt

Aber hier ist die OTL.txt
Zitat:
OTL logfile created on: 01.09.2011 21:21:31 - Run 2
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\Anna\Desktop
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 65,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 288,19 Gb Total Space | 148,38 Gb Free Space | 51,49% Space Free | Partition Type: NTFS
Drive D: | 291,98 Gb Total Space | 291,70 Gb Free Space | 99,91% Space Free | Partition Type: NTFS
Drive E: | 5,56 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive H: | 3,76 Gb Total Space | 3,22 Gb Free Space | 85,77% Space Free | Partition Type: FAT32

Computer Name: ANNA-PC | User Name: Anna | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
PRC - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files\Microsoft\BingBar\SeaPort.EXE (Microsoft Corporation)
PRC - C:\Users\Anna\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\Windows\System32\WTMKM.exe ()
PRC - C:\Windows\System32\atwtusb.exe ()
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\Acer\Empowering Technology\SysMonitor.exe ()
PRC - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe ()
PRC - C:\Program Files\Hama\Common\RaUI.exe (Hama GmbH & Co KG)
PRC - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated)
PRC - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe (Egis Incorporated)
PRC - C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE (CANON INC.)
PRC - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe (CyberLink)
PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Users\Anna\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18523_none_5cdd65e20837faf2\comctl32.dll (Microsoft Corporation)
MOD - C:\Windows\System32\nvsvc.dll (NVIDIA Corporation)
MOD - C:\Windows\System32\powrprof.dll (Microsoft Corporation)
MOD - C:\Windows\System32\wtsapi32.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (BBSvc) -- C:\Program Files\Microsoft\BingBar\BBSvc.EXE (Microsoft Corporation.)
SRV - (MBAMService) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (BBUpdate) -- C:\Program Files\Microsoft\BingBar\SeaPort.EXE (Microsoft Corporation)
SRV - (ICQ Service) -- C:\Program Files\ICQ6Toolbar\ICQ Service.exe ()
SRV - (npggsvc) -- C:\Windows\System32\GameMon.des (INCA Internet Co., Ltd.)
SRV - (WTService) -- C:\Windows\System32\atwtusb.exe ()
SRV - (ETService) -- C:\Program Files\Acer\Empowering Technology\Service\ETService.exe ()
SRV - (eDataSecurity Service) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated)
SRV - (Acer HomeMedia Connect Service) -- C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe (CyberLink)
SRV - (IJPLMSVC) -- C:\Program Files\Canon\IJPLM\ijplmsvc.exe ()
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)


========== Driver Services (SafeList) ==========

DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (vhidmini) -- C:\Windows\System32\drivers\walvhid.sys (Windows (R) Win 7 DDK provider)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (moufiltr) -- C:\Windows\System32\drivers\moufiltr.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (int15) -- C:\Windows\System32\drivers\int15.sys (Acer, Inc.)
DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)
DRV - (nvstor32) -- C:\Windows\system32\DRIVERS\nvstor32.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvmfdx32.sys (NVIDIA Corporation)
DRV - (netr73) -- C:\Windows\System32\drivers\netr73.sys (Ralink Technology, Corp.)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
IE - HKLM\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.)

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle Redirect
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = Acer.com Worldwide - Select your local country or region [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1


Alt 01.09.2011, 23:29   #6
Swisstreasure
/// Malwareteam
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Das ist nicht das vollständige Log.

Alt 02.09.2011, 18:57   #7
Anna_kuchen
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 01.09.2011 21:21:31 - Run 2
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\Anna\Desktop
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 65,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 288,19 Gb Total Space | 148,38 Gb Free Space | 51,49% Space Free | Partition Type: NTFS
Drive D: | 291,98 Gb Total Space | 291,70 Gb Free Space | 99,91% Space Free | Partition Type: NTFS
Drive E: | 5,56 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive H: | 3,76 Gb Total Space | 3,22 Gb Free Space | 85,77% Space Free | Partition Type: FAT32
 
Computer Name: ANNA-PC | User Name: Anna | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
PRC - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files\Microsoft\BingBar\SeaPort.EXE (Microsoft Corporation)
PRC - C:\Users\Anna\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\Windows\System32\WTMKM.exe ()
PRC - C:\Windows\System32\atwtusb.exe ()
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\Acer\Empowering Technology\SysMonitor.exe ()
PRC - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe ()
PRC - C:\Program Files\Hama\Common\RaUI.exe (Hama GmbH & Co KG)
PRC - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated)
PRC - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe (Egis Incorporated)
PRC - C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE (CANON INC.)
PRC - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe (CyberLink)
PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Anna\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18523_none_5cdd65e20837faf2\comctl32.dll (Microsoft Corporation)
MOD - C:\Windows\System32\nvsvc.dll (NVIDIA Corporation)
MOD - C:\Windows\System32\powrprof.dll (Microsoft Corporation)
MOD - C:\Windows\System32\wtsapi32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (BBSvc) -- C:\Program Files\Microsoft\BingBar\BBSvc.EXE (Microsoft Corporation.)
SRV - (MBAMService) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (BBUpdate) -- C:\Program Files\Microsoft\BingBar\SeaPort.EXE (Microsoft Corporation)
SRV - (ICQ Service) -- C:\Program Files\ICQ6Toolbar\ICQ Service.exe ()
SRV - (npggsvc) -- C:\Windows\System32\GameMon.des (INCA Internet Co., Ltd.)
SRV - (WTService) -- C:\Windows\System32\atwtusb.exe ()
SRV - (ETService) -- C:\Program Files\Acer\Empowering Technology\Service\ETService.exe ()
SRV - (eDataSecurity Service) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated)
SRV - (Acer HomeMedia Connect Service) -- C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe (CyberLink)
SRV - (IJPLMSVC) -- C:\Program Files\Canon\IJPLM\ijplmsvc.exe ()
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (vhidmini) -- C:\Windows\System32\drivers\walvhid.sys (Windows (R) Win 7 DDK provider)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (moufiltr) -- C:\Windows\System32\drivers\moufiltr.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (int15) -- C:\Windows\System32\drivers\int15.sys (Acer, Inc.)
DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)
DRV - (nvstor32) -- C:\Windows\system32\DRIVERS\nvstor32.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvmfdx32.sys (NVIDIA Corporation)
DRV - (netr73) -- C:\Windows\System32\drivers\netr73.sys (Ralink Technology, Corp.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
IE - HKLM\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.)
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle Redirect
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = Acer.com Worldwide - Select your local country or region [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic Deutsch Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034"
FF - prefs.js..browser.search.selectedEngine: "Yahoo"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.3
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.10
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.9
FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:2.7.2.0
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:4.6
FF - prefs.js..extensions.enabledItems: ChoiceGuard@Microsoft:2.0
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.6
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..extensions.enabledItems: {FFCD57C0-B44A-4B84-8EA2-37E605C61634}:1.9.1
FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.3.0.7550
FF - prefs.js..extensions.enabledItems: {8dbb6d8e-e4a6-4e3b-9753-af78b226441c}:2.7.2.0
FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p="
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.02.21 16:46:33 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.08.28 20:24:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.06.25 12:18:56 | 000,000,000 | ---D | M]
 
[2009.06.07 18:15:37 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Anna\AppData\Roaming\mozilla\Extensions
[2011.09.01 00:37:13 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions
[2010.05.30 12:52:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.06.20 15:16:01 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.05.30 12:52:25 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2011.08.22 20:06:20 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.03.22 19:48:11 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2011.05.23 15:11:50 | 000,000,000 | ---D | M] (Softonic Deutsch Toolbar) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}
[2010.07.10 23:43:16 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011.02.16 21:35:49 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.05.30 12:52:24 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2010.08.17 17:13:43 | 000,000,000 | ---D | M] (Microsoft Choice Guard) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\ChoiceGuard@Microsoft
[2011.02.16 21:35:51 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Anna\AppData\Roaming\mozilla\Firefox\Profiles\5vfijvzh.default\extensions\engine@conduit.com
[2010.08.18 14:43:49 | 000,001,819 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\bing.xml
[2010.08.05 21:33:12 | 000,000,935 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\conduit.xml
[2011.08.29 22:59:50 | 000,000,950 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\icqplugin-1.xml
[2010.04.03 00:19:52 | 000,000,950 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\icqplugin-2.xml
[2010.04.12 18:09:16 | 000,000,950 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\icqplugin-3.xml
[2010.06.28 17:07:15 | 000,000,950 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\icqplugin-4.xml
[2010.07.04 16:44:56 | 000,000,950 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\icqplugin-5.xml
[2010.12.13 19:34:10 | 000,000,950 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\icqplugin-6.xml
[2011.02.11 15:06:01 | 000,000,950 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\icqplugin-7.xml
[2011.03.30 15:14:34 | 000,001,042 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\icqplugin.xml
[2009.06.08 11:11:20 | 000,009,941 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\5vfijvzh.default\searchplugins\mywebsearch.xml
[2011.08.24 23:26:35 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010.01.03 18:33:32 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Program Files\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.07.07 16:16:58 | 000,000,000 | ---D | M] (Skype extension) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2011.08.24 23:26:35 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM
[2011.08.24 23:26:35 | 000,000,000 | ---D | M] (Dealio Toolbar) -- C:\PROGRAM FILES\DEALIO TOOLBAR\FF
[2011.05.20 19:30:07 | 000,000,000 | ---D | M] (XULRunner) -- C:\USERS\ANNA\APPDATA\LOCAL\{FFCD57C0-B44A-4B84-8EA2-37E605C61634}
[2010.12.03 20:14:08 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 20:14:08 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.12.03 20:14:08 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.03 20:14:08 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.03 20:14:08 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
[2009.04.07 14:59:38 | 000,000,872 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\Yahooober1839111.gif
[2009.10.24 18:50:17 | 000,000,205 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\Yahooober1839111.src
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
O2 - BHO: (Softonic Deutsch Toolbar) - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Softonic Deutsch Toolbar) - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar mit Pop-Up-Blocker) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Softonic Deutsch Toolbar) - {8DBB6D8E-E4A6-4E3B-9753-AF78B226441C} - C:\Program Files\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acer Empowering Technology Monitor] C:\Program Files\Acer\Empowering Technology\SysMonitor.exe ()
O4 - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKLM..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe (Egis Incorporated)
O4 - HKLM..\Run: [EmpoweringTechnology]  File not found
O4 - HKLM..\Run: [MacrokeyManager] C:\Windows\System32\WTMKM.exe ()
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [PCMMediaSharing] C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe ()
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe (Acer Incorporated)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe (Electronic Arts)
O8 - Extra context menu item: Free YouTube Download - C:\Users\Anna\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Anna\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll (Google Inc.)
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: baur.de ([vpn-portal1] https in Trusted sites)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\yinsthelper.dll (YInstStarter Class)
O16 - DPF: {44C1E3A2-B594-401C-B27A-D1B4476E4797} https://vpn-portal1.baur.de/XTSAC.cab (XTSAC Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Anna\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Anna\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2009.04.30 04:57:32 | 000,054,544 | R--- | M] (Electronic Arts) - E:\Autorun.exe -- [ UDF ]
O32 - AutoRun File - [2008.10.22 01:48:37 | 000,000,045 | R--- | M] () - E:\Autorun.inf -- [ UDF ]
O32 - AutoRun File - [2007.09.30 21:42:50 | 000,000,130 | ---- | M] () - H:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{4ebcc773-58ab-11db-94a0-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{4ebcc773-58ab-11db-94a0-806e6f6e6963}\Shell\AutoRun\command - "" = G:\start.exe
O33 - MountPoints2\{f7318e34-9675-11df-8243-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{f7318e34-9675-11df-8243-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Autorun.exe -- [2009.04.30 04:57:32 | 000,054,544 | R--- | M] (Electronic Arts)
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {0291E591-EA41-4c82-8106-3DC6CE7F7664} - Reg Error: Value error.
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - 
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - Reg Error: Value error.
ActiveX: {347B0667-C7ED-429B-BDE3-CC8D3BACAA31} - Reg Error: Value error.
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - 
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {80187717-780B-4EB0-BA5B-F4F51F2BD652} - Microsoft Windows Media Player 11.0
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.08.26 14:31:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vampire - The Masquerade Bloodlines
[2011.08.26 14:07:22 | 000,000,000 | ---D | C] -- C:\Program Files\Activision
[2011.08.24 23:26:34 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Spigot
[2011.08.24 23:26:34 | 000,000,000 | ---D | C] -- C:\Program Files\Dealio Toolbar
[2011.08.24 23:26:34 | 000,000,000 | ---D | C] -- C:\Program Files\Application Updater
[2011.08.22 20:06:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ICQ7.5
[2011.08.22 20:05:56 | 000,000,000 | ---D | C] -- C:\Program Files\ICQ7.5
[2011.08.19 23:05:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu!
[2011.08.19 23:05:46 | 000,000,000 | ---D | C] -- C:\Program Files\osu!
[2003.03.02 00:26:05 | 000,049,152 | ---- | C] ( ) -- C:\Windows\Interop.IWshRuntimeLibrary.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.09.01 21:13:18 | 000,628,504 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.09.01 21:13:18 | 000,595,798 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.09.01 21:13:18 | 000,126,248 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.09.01 21:13:18 | 000,103,872 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.09.01 21:11:02 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-585210845-3960999194-72264236-1000UA.job
[2011.09.01 21:09:10 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.09.01 21:09:07 | 000,000,376 | ---- | M] () -- C:\Windows\tasks\Registry Reviver-Anna-Startup.job
[2011.09.01 21:08:53 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.09.01 21:08:53 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.09.01 21:08:45 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.09.01 21:08:43 | 2951,147,520 | -HS- | M] () -- C:\hiberfil.sys
[2011.09.01 13:06:14 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.09.01 01:11:00 | 000,001,064 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-585210845-3960999194-72264236-1000Core.job
[2011.08.30 16:58:09 | 000,000,556 | -H-- | M] () -- C:\Windows\tasks\Norton Security Scan for Anna.job
[2011.08.26 14:31:25 | 000,001,709 | ---- | M] () -- C:\Users\Public\Desktop\Vampire - The Masquerade Bloodlines.lnk
[2011.08.26 14:31:02 | 000,000,292 | ---- | M] () -- C:\Windows\vtmb.ini
[2011.08.24 00:36:31 | 000,001,155 | ---- | M] () -- C:\Users\Anna\Desktop\Free YouTube to MP3 Converter.lnk
[2011.08.24 00:36:31 | 000,000,996 | ---- | M] () -- C:\Users\Anna\Desktop\DVDVideoSoft Free Studio.lnk
[2011.08.22 20:06:38 | 000,001,573 | ---- | M] () -- C:\Users\Public\Desktop\ICQ7.5.lnk
[2011.08.19 23:05:57 | 000,000,730 | ---- | M] () -- C:\Users\Public\Desktop\osu!.lnk
[2011.08.16 01:16:48 | 000,005,514 | ---- | M] () -- C:\Users\Anna\.recently-used.xbel
 
========== Files Created - No Company Name ==========
 
[2011.09.01 01:57:38 | 2951,147,520 | -HS- | C] () -- C:\hiberfil.sys
[2011.08.26 14:31:25 | 000,001,709 | ---- | C] () -- C:\Users\Public\Desktop\Vampire - The Masquerade Bloodlines.lnk
[2011.08.26 14:31:02 | 000,000,292 | ---- | C] () -- C:\Windows\vtmb.ini
[2011.08.24 00:36:31 | 000,001,155 | ---- | C] () -- C:\Users\Anna\Desktop\Free YouTube to MP3 Converter.lnk
[2011.08.24 00:36:31 | 000,000,996 | ---- | C] () -- C:\Users\Anna\Desktop\DVDVideoSoft Free Studio.lnk
[2011.08.23 01:23:19 | 000,000,900 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Download Manager.lnk
[2011.08.22 20:06:38 | 000,001,573 | ---- | C] () -- C:\Users\Public\Desktop\ICQ7.5.lnk
[2011.08.19 23:05:57 | 000,000,730 | ---- | C] () -- C:\Users\Public\Desktop\osu!.lnk
[2011.08.16 01:16:48 | 000,005,514 | ---- | C] () -- C:\Users\Anna\.recently-used.xbel
[2011.06.25 13:12:49 | 000,097,224 | -H-- | C] () -- C:\Windows\System32\mlfcache.dat
[2011.04.30 15:00:59 | 000,026,624 | ---- | C] () -- C:\Windows\System32\dll.dll
[2011.04.30 15:00:49 | 000,295,042 | ---- | C] () -- C:\Windows\System32\shimg.dll
[2011.03.20 20:24:43 | 000,000,080 | ---- | C] () -- C:\Windows\wiso.ini
[2011.03.11 17:00:14 | 000,000,120 | ---- | C] () -- C:\Users\Anna\AppData\Local\Pneqewadage.dat
[2011.03.11 17:00:14 | 000,000,000 | ---- | C] () -- C:\Users\Anna\AppData\Local\Itajapaximiba.bin
[2011.01.12 15:20:29 | 000,000,023 | ---- | C] () -- C:\Windows\BlendSettings.ini
[2010.10.10 12:05:20 | 000,000,418 | ---- | C] () -- C:\Windows\wininit.ini
[2010.08.29 21:12:55 | 000,000,990 | ---- | C] () -- C:\Users\Anna\AppData\Local\RT73_{B40C8C4E-430D-4BD7-9019-59158541DFDD}_wsc
[2010.08.08 17:09:34 | 000,000,859 | ---- | C] () -- C:\Users\Anna\AppData\Local\RT73_{B40C8C4E-430D-4BD7-9019-59158541DFDD}_sta
[2010.08.08 17:08:20 | 000,001,693 | ---- | C] () -- C:\Users\Anna\AppData\Local\RT73_{B40C8C4E-430D-4BD7-9019-59158541DFDD}_prof
[2010.07.23 21:19:31 | 000,003,636 | ---- | C] () -- C:\Windows\System32\drivers\nvphy.bin
[2010.04.12 16:34:06 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.03.17 15:30:56 | 000,515,816 | ---- | C] () -- C:\Windows\System32\atwtusb.exe
[2010.03.17 15:30:56 | 000,045,056 | ---- | C] () -- C:\Windows\System32\InstallService.exe
[2010.03.17 15:30:55 | 005,873,384 | ---- | C] () -- C:\Windows\System32\WTMKM.exe
[2010.03.17 15:30:55 | 000,151,272 | ---- | C] () -- C:\Windows\System32\Calibration.exe
[2010.03.17 15:30:54 | 000,180,224 | ---- | C] () -- C:\Windows\System32\ATWTINK.DLL
[2010.03.17 15:30:53 | 000,008,229 | ---- | C] () -- C:\Windows\aiptbl.ini
[2010.03.12 16:00:24 | 000,000,105 | R--- | C] () -- C:\ProgramData\Ppster.ini
[2010.03.10 18:10:42 | 000,010,251 | ---- | C] () -- C:\Windows\System32\Default_2.ini
[2010.03.10 18:10:42 | 000,009,868 | ---- | C] () -- C:\Windows\System32\Default_1.ini
[2010.03.10 18:10:42 | 000,000,677 | ---- | C] () -- C:\Windows\System32\MKProfile.ini
[2009.06.02 12:24:10 | 000,000,680 | ---- | C] () -- C:\Users\Anna\AppData\Local\d3d9caps.dat
[2009.04.06 17:59:04 | 000,008,192 | ---- | C] () -- C:\Users\Anna\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.03.24 22:57:49 | 000,106,605 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2009.03.24 22:57:49 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2009.03.24 22:08:44 | 000,000,242 | ---- | C] () -- C:\Users\Anna\AppData\Roaming\wklnhst.dat
[2008.05.09 11:54:41 | 000,001,024 | RH-- | C] () -- C:\Windows\System32\NTIOFM4.dll
[2008.05.09 11:54:41 | 000,001,024 | RH-- | C] () -- C:\Windows\System32\NTIBUN5.dll
[2008.05.09 11:16:47 | 000,487,424 | ---- | C] () -- C:\Windows\System32\INT15.dll
[2008.05.09 11:07:26 | 000,000,520 | ---- | C] () -- C:\Windows\System32\drivers\RTEQEX0.dat
[2008.05.09 11:07:26 | 000,000,008 | ---- | C] () -- C:\Windows\System32\drivers\rtkhdaud.dat
[2008.01.21 09:15:58 | 000,628,504 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2008.01.21 09:15:58 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2008.01.21 09:15:58 | 000,126,248 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2008.01.21 09:15:58 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2006.11.02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006.11.02 14:47:37 | 000,301,888 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 12:33:01 | 000,595,798 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006.11.02 12:33:01 | 000,103,872 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2003.03.02 00:26:06 | 000,000,010 | ---- | C] () -- C:\Windows\popcinfo.dat
[2003.03.02 00:26:05 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2003.03.02 00:26:05 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2003.03.02 00:26:04 | 000,000,044 | ---- | C] () -- C:\Windows\Acer(Normal).ini
[2003.03.02 00:26:04 | 000,000,042 | ---- | C] () -- C:\Windows\Acer(Wide).ini
[2001.12.26 16:12:30 | 000,065,536 | ---- | C] () -- C:\Windows\System32\multiplex_vcd.dll
[2001.09.03 23:46:38 | 000,110,592 | ---- | C] () -- C:\Windows\System32\Hmpg12.dll
[2001.07.30 16:33:56 | 000,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC.dll
[2001.07.23 22:04:36 | 000,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC_MMX.dll
 
========== LOP Check ==========
 
[2009.05.11 18:42:46 | 000,000,000 | -HSD | M] -- C:\Users\Anna\AppData\Roaming\.#
[2011.03.15 15:53:54 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\7A1C8C3CD8C2AA8F21F011CE50CE4D51
[2008.05.09 11:28:28 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Acer GameZone Console
[2011.07.28 18:57:04 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Audacity
[2010.02.05 16:10:14 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Canon
[2011.06.20 01:32:51 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Downloaded Installations
[2011.08.24 00:41:48 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\DVDVideoSoft
[2011.04.11 14:57:43 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\DVDVideoSoftIEHelpers
[2010.07.22 17:45:28 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\FreeAudioPack
[2011.02.06 16:55:46 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\GetRightToGo
[2011.08.16 01:16:48 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\gtk-2.0
[2011.08.31 14:52:25 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\ICQ
[2010.03.13 12:22:49 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Leadertech
[2010.09.06 15:08:04 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Merscom
[2009.04.17 15:51:42 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\PlayFirst
[2011.01.14 19:05:13 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\RenPy
[2011.05.23 21:04:35 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Scribus
[2010.04.05 19:25:13 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\SPORE
[2010.08.29 21:56:31 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\SYSTEMAX Software Development
[2009.04.20 17:07:44 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Template
[2010.08.03 18:06:23 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\uTorrent
[2011.09.01 21:09:07 | 000,000,376 | ---- | M] () -- C:\Windows\Tasks\Registry Reviver-Anna-Startup.job
[2011.09.01 13:09:01 | 000,032,554 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2009.03.24 22:07:05 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN
[2010.04.17 20:24:27 | 000,000,000 | ---D | M] -- C:\ACER
[2009.03.20 08:27:46 | 000,000,000 | ---D | M] -- C:\ACERSW
[2008.05.09 11:55:59 | 000,000,000 | ---D | M] -- C:\Book
[2008.05.09 04:42:57 | 000,000,000 | -HSD | M] -- C:\Boot
[2006.11.02 15:02:03 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2009.03.24 22:02:53 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2010.01.03 22:49:54 | 000,000,000 | ---D | M] -- C:\download games
[2008.05.09 11:39:31 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2009.04.08 18:09:47 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2008.01.21 04:32:31 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2011.08.26 14:07:22 | 000,000,000 | R--D | M] -- C:\Program Files
[2011.05.12 16:37:54 | 000,000,000 | ---D | M] -- C:\ProgramData
[2009.03.24 22:02:53 | 000,000,000 | -HSD | M] -- C:\Programme
[2011.09.01 21:26:13 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2008.06.11 07:55:48 | 000,000,000 | ---D | M] -- C:\TEMP
[2011.06.25 11:21:01 | 000,000,000 | R--D | M] -- C:\Users
[2011.09.01 00:16:31 | 000,000,000 | ---D | M] -- C:\Windows
 
< %PROGRAMFILES%\*.exe >
 
< %LOCALAPPDATA%\*.exe >
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE  >
[2008.10.29 08:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
[2008.10.29 08:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\explorer.exe
[2008.10.29 08:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
[2008.10.30 05:59:17 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
[2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe
[2008.10.28 04:15:02 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
[2008.01.21 04:24:24 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2008.01.21 04:24:53 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\regedit.exe
[2008.01.21 04:24:53 | 000,134,656 | ---- | M] (Microsoft Corporation) MD5=467A3B03E924B7B7EDD16D34740574B0 -- C:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_f42eb564dbd8a697\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\System32\userinit.exe
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\System32\wininit.exe
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\System32\winlogon.exe
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-08-30 16:45:27
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 99 bytes -> C:\ProgramData\TEMP:B623B5B8
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:4F636E25
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:4BB26BE9
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:2B99FE60
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:E36F5B57
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:4CF61E54

< End of report >
         
--- --- ---

Alt 02.09.2011, 23:46   #8
Swisstreasure
/// Malwareteam
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Alt 04.09.2011, 01:21   #9
Anna_kuchen
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7643

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.19088

03.09.2011 17:11:51
mbam-log-2011-09-03 (17-11-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 172874
Laufzeit: 5 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avupdate (Rootkit.0Access.XGen) -> Value: avupdate -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Anna\AppData\Roaming\jashla.exe (Rootkit.0Access.XGen) -> Quarantined and deleted successfully.
c:\Users\Anna\AppData\Local\Temp\jar_cache1027152363118665638.tmp (Rootkit.0Access.XGen) -> Quarantined and deleted successfully.
c:\Users\Anna\AppData\Local\Temp\jar_cache1066488388004632853.tmp (Rootkit.0Access.XGen) -> Quarantined and deleted successfully.
c:\Users\Anna\AppData\Local\Temp\jar_cache4731990680941278059.tmp (Rootkit.0Access.XGen) -> Quarantined and deleted successfully.

Alt 04.09.2011, 19:19   #10
Swisstreasure
/// Malwareteam
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Alt 04.09.2011, 22:58   #11
Anna_kuchen
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-09-04 22:52:45
Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-5 WDC_WD6400AAKS-22A7B2 rev.01.03B01
Running: dgzutzv0.exe; Driver: C:\Users\Anna\AppData\Local\Temp\kgldrpow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  C:\Windows\system32\DRIVERS\nvlddmkm.sys                                    section is writeable [0x8DE0D340, 0x40AA77, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\Windows\Explorer.EXE[3084] SHELL32.dll!InitNetworkAddressControl + 2939  75A5006C 4 Bytes  [50, 26, 00, 10] {PUSH EAX; ADD ES:[EAX], DL}

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Alt 05.09.2011, 21:44   #12
Anna_kuchen
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Ich dachte ich hab den Log gerstern schon mal gepostet o.o
Aber da er jetzt anscheinend weg ist, hier nochmal:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-09-04 22:52:45
Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-5 WDC_WD6400AAKS-22A7B2 rev.01.03B01
Running: dgzutzv0.exe; Driver: C:\Users\Anna\AppData\Local\Temp\kgldrpow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  C:\Windows\system32\DRIVERS\nvlddmkm.sys                                    section is writeable [0x8DE0D340, 0x40AA77, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\Windows\Explorer.EXE[3084] SHELL32.dll!InitNetworkAddressControl + 2939  75A5006C 4 Bytes  [50, 26, 00, 10] {PUSH EAX; ADD ES:[EAX], DL}

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Alt 05.09.2011, 23:28   #13
Swisstreasure
/// Malwareteam
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Zbot und v.a. der Zero-Access sind extrem fiese Zeitgenossen.
In diesem Fall würde ich eher eine Neuinstallation empfehlen. Willst du unbedingt eine Bereinigung? Sicher ist das nicht und das kann auch lange dauern...

Alt 06.09.2011, 02:07   #14
Anna_kuchen
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Erstmal danke für alles

Bei einer Neuinstallation müsste ich dann meinen Vater fragen. Er hat auch shcon mal den PC beines Bruders neu aufgesetzt und er dürfte damit auch keine Verständnisprobleme haben. Ich bin mir da nämlich nicht so sicher.
Denn wenn eine Bereinigung so viel arbeit bedeutet lass ich es lieber.

Aber eine Frage hab ich dann noch:
Ist es denn eigentlich sehr drigend Windows Neuzuinstallieren? Machen die Trojaner größere Schäden oder könnte ich eigentlich ohne große weitere Probleme meinen PC weiterhin nutzen usw ?

Alt 06.09.2011, 08:29   #15
Swisstreasure
/// Malwareteam
 
Kann Trojaner (Fake Polizeisperre) nicht entfernen - Standard

Kann Trojaner (Fake Polizeisperre) nicht entfernen



Gerade bei einem ZBot und diesem Rootkit ist es heikel weiter auf dem System zu arbeiten. Du bist Teil eines Netzes welches genutzt wird um Spam zu verschicken und auch andere Sachen zu veranstalten. Wenn Du willst können wir eine BEreinigung versuchen. Ob aber am Schluss alles clean ist, das ist fraglich.

Antwort

Themen zu Kann Trojaner (Fake Polizeisperre) nicht entfernen
athlon, betriebssystem, brauche, build, device, entferne, entfernen, fake, fake sperre, home, kann nicht entfernt werden, malwarebytes, modus, physikalischer speicher, polizei, problem mit malwarebytes, processor, ram, scan, service, service pack 1, speicher, systeminformationen, troja, trojaner, verschwindet, virtueller, vollständige, windows



Ähnliche Themen: Kann Trojaner (Fake Polizeisperre) nicht entfernen


  1. DHL-Fake-Email Link geöffnet, wie kann ich die Malware entfernen?
    Plagegeister aller Art und deren Bekämpfung - 08.03.2015 (9)
  2. Polizeisperre?
    Log-Analyse und Auswertung - 16.05.2014 (1)
  3. Virus/Fake AV lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2012 (5)
  4. MSE erkennt Trojaner kann diesen aber nicht entfernen
    Log-Analyse und Auswertung - 15.02.2012 (5)
  5. kann trojaner von meiner externen festplatte nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (1)
  6. Norman Ad-Aware SE Profesional kann Trojaner nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.10.2010 (16)
  7. Kann winlogon\taskman trojaner nicht entfernen, was tun?
    Plagegeister aller Art und deren Bekämpfung - 25.05.2010 (20)
  8. ach Fake-Virus kann Windows nicht mehr gestartet werden
    Antiviren-, Firewall- und andere Schutzprogramme - 10.02.2010 (3)
  9. HILFE!!! kann Trojaner nicht entfernen!
    Log-Analyse und Auswertung - 21.09.2008 (2)
  10. VundoFix kann Trojaner nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 29.05.2008 (3)
  11. Habe Trojaner und kann ihn nicht entfernen!
    Log-Analyse und Auswertung - 21.05.2008 (1)
  12. kann den Trojaner nicht entfernen!!! pls help!!!
    Plagegeister aller Art und deren Bekämpfung - 30.10.2007 (2)
  13. Kann Trojaner nicht entfernen (Swizzor?, Netpumper?)
    Plagegeister aller Art und deren Bekämpfung - 24.12.2006 (1)
  14. kann den trojaner tr/qhost.aa nicht entfernen
    Log-Analyse und Auswertung - 23.06.2006 (2)
  15. Hilfe, ich habe einen Trojaner und kann ihn nicht entfernen!
    Log-Analyse und Auswertung - 11.07.2005 (11)
  16. Kann 2 Trojaner nicht entfernen Hilfe
    Log-Analyse und Auswertung - 04.06.2005 (4)
  17. Kann Trojaner nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 12.03.2005 (1)

Zum Thema Kann Trojaner (Fake Polizeisperre) nicht entfernen - Hallo erstmal. Also es ist so: Ich habe mir diesen Trojaner eingefangen Habe hier darüber schon gelesen: h**p://www.pcgameshardware.de/aid,818411/Vorsicht-Falle-Trojaner-tarnt-sich-als-offizielle-Mitteilung-des-Bundeskriminalamtes/Sicherheit/News/ Ich habe im abgesichtertem Modus mit Malwarebytes einen Vollständigen Scan gemacht und - Kann Trojaner (Fake Polizeisperre) nicht entfernen...
Archiv
Du betrachtest: Kann Trojaner (Fake Polizeisperre) nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.