| |
| |||||||
Log-Analyse und Auswertung: 470a1245.exe Merkwürdige Verknüpfungen!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
21.12.2011, 07:28
| #1 |
| |  470a1245.exe Merkwürdige Verknüpfungen! Hallo Ich brauche drigend Hilfe!Mein Betriebssystem ist Vista 32 Bit aktuelles SP.Folgendes Problem hab vor kurzem meine externe Festplatte angesteckt da sind Plötzlich aus allen Ordnern darauf Verknüpfungen geworden(die mich zum cmd.exe geführt haben) und auf meiner Festplatte(C  sind ebenfalls überall Verknüpfungen(die für mich aussehen als würden sie zu WinXP gehören).Außerdem kriegt der IE Explorer kein I-Net Verbindung mehr und was ganz Merkwürdig ist ich kann mit Firefox zwar noch Surfen kann aber keine Seite öffnen in der es irgend wie um Antivirus geht!?(Also zB avira.de kaspersky.de virustotal.com usw)!Auf der Festplatte war ein Ordner Recycel und darin war die 470a1240.exe!Hab mich schon ein bißchen schlau gemacht und diverse Sachen über meine Platte gejagt krieg es aber nicht hin/weg !Darum bräuchte ich jetzt drigend Hilfe!Bisher geprüft mit: AntiVir SpyBot MalewareBytes |
|
21.12.2011, 07:30
| #2 |
| | 470a1245.exe Merkwürdige Verknüpfungen! LogFile AntiVir erster can
__________________Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 20. Dezember 2011 01:09 Es wird nach 3592199 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ZOCKERPALAST Versionsinformationen: BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 29.06.2011 13:40:23 AVSCAN.DLL : 10.0.5.0 57192 Bytes 29.06.2011 13:40:23 LUKE.DLL : 10.3.0.5 45416 Bytes 29.06.2011 13:40:24 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 29.06.2011 13:40:24 AVREG.DLL : 10.3.0.9 88833 Bytes 14.07.2011 18:19:45 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:15:11 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 14:15:12 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 06:10:54 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 06:11:02 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 13:07:38 VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 04:43:39 VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 14:55:49 VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 13:01:02 VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 13:01:08 VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 13:01:09 VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 13:01:09 VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 13:01:09 VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 18:15:46 VBASE014.VDF : 7.11.18.145 143872 Bytes 01.12.2011 20:17:07 VBASE015.VDF : 7.11.18.180 173056 Bytes 02.12.2011 20:14:56 VBASE016.VDF : 7.11.18.208 164864 Bytes 05.12.2011 17:27:26 VBASE017.VDF : 7.11.18.239 177152 Bytes 06.12.2011 01:18:30 VBASE018.VDF : 7.11.19.36 171520 Bytes 09.12.2011 19:07:03 VBASE019.VDF : 7.11.19.77 144896 Bytes 13.12.2011 19:07:03 VBASE020.VDF : 7.11.19.115 177664 Bytes 15.12.2011 19:06:51 VBASE021.VDF : 7.11.19.137 139776 Bytes 16.12.2011 22:35:45 VBASE022.VDF : 7.11.19.138 2048 Bytes 16.12.2011 22:35:45 VBASE023.VDF : 7.11.19.139 2048 Bytes 16.12.2011 22:35:45 VBASE024.VDF : 7.11.19.140 2048 Bytes 16.12.2011 22:35:45 VBASE025.VDF : 7.11.19.141 2048 Bytes 16.12.2011 22:35:45 VBASE026.VDF : 7.11.19.142 2048 Bytes 16.12.2011 22:35:45 VBASE027.VDF : 7.11.19.143 2048 Bytes 16.12.2011 22:35:45 VBASE028.VDF : 7.11.19.144 2048 Bytes 16.12.2011 22:35:45 VBASE029.VDF : 7.11.19.145 2048 Bytes 16.12.2011 22:35:45 VBASE030.VDF : 7.11.19.146 2048 Bytes 16.12.2011 22:35:46 VBASE031.VDF : 7.11.19.162 105472 Bytes 19.12.2011 22:35:43 Engineversion : 8.2.8.8 AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 04:54:08 AESCRIPT.DLL : 8.1.3.92 495996 Bytes 16.12.2011 22:36:03 AESCN.DLL : 8.1.7.2 127349 Bytes 28.03.2011 14:14:53 AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 20:21:23 AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 14:00:13 AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 19:07:05 AEOFFICE.DLL : 8.1.2.24 201084 Bytes 16.12.2011 22:36:02 AEHEUR.DLL : 8.1.3.8 4231543 Bytes 16.12.2011 22:36:01 AEHELP.DLL : 8.1.18.0 254327 Bytes 26.10.2011 04:54:03 AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 07:19:47 AEEMU.DLL : 8.1.3.0 393589 Bytes 28.03.2011 14:14:45 AECORE.DLL : 8.1.24.2 201080 Bytes 16.12.2011 22:35:48 AEBB.DLL : 8.1.1.0 53618 Bytes 28.03.2011 14:14:44 AVWINLL.DLL : 10.0.0.0 19304 Bytes 28.03.2011 14:14:57 AVPREF.DLL : 10.0.3.2 44904 Bytes 29.06.2011 13:40:23 AVREP.DLL : 10.0.0.10 174120 Bytes 08.06.2011 06:11:13 AVARKT.DLL : 10.0.26.1 255336 Bytes 29.06.2011 13:40:23 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 29.06.2011 13:40:23 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 28.03.2011 14:14:57 NETNT.DLL : 10.0.0.0 11624 Bytes 28.03.2011 14:15:04 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 29.06.2011 13:40:22 RCTEXT.DLL : 10.0.64.0 98664 Bytes 29.06.2011 13:40:22 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4fca559e\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Auszulassende Dateien.................: C:\ADCDA2\AdKey.exe, Beginn des Suchlaufs: Dienstag, 20. Dezember 2011 01:09 C:\Users\Mark\AppData\Local\Temp\System\audiodgi.exe [FUND] Ist das Trojanische Pferd TR/Starter.A.6 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess '__tmp.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> <C:\Users\Mark\AppData\Local\Temp\__tmp.exe> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpmetwk.exe' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Mark\AppData\Local\Temp\System\wmpmetwk.exe> [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [WARNUNG] Der Prozess <wmpmetwk.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [87]: Falscher Parameter. [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [HINWEIS] Eine Instanz der ARK Library läuft bereits. Durchsuche Prozess 'audiodgi.exe' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Mark\AppData\Local\Temp\System\audiodgi.exe> [FUND] Ist das Trojanische Pferd TR/Starter.A.6 [WARNUNG] Der Prozess <audiodgi.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [87]: Falscher Parameter. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1078456728-1078075517-4264600183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows® Operating System> wurde erfolgreich repariert. [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [WARNUNG] Eine Exception wurde abgefangen! Durchsuche Prozess 'KeyGen.exe' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Downloads\A120.v2.0.1.2033\Alcohol.120.v2.0.1.2033.Multi.inkl.Deutsch\Full+Betamaster-Keymaker\KeyGen.exe> [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [WARNUNG] Der Prozess <KeyGen.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [87]: Falscher Parameter. [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [HINWEIS] Eine Instanz der ARK Library läuft bereits. Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmdc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvxdsync.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Users\Mark\AppData\Local\Temp\System\audiodgi.exe [FUND] Ist das Trojanische Pferd TR/Starter.A.6 [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [WARNUNG] Eine Exception wurde abgefangen! [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. Ende des Suchlaufs: Dienstag, 20. Dezember 2011 01:10 Benötigte Zeit: 01:23 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 625 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 620 Dateien ohne Befall 0 Archive wurden durchsucht 5 Warnungen 4 Hinweise Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 20. Dezember 2011 00:38 Es wird nach 3592199 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ZOCKERPALAST Versionsinformationen: BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 29.06.2011 13:40:23 AVSCAN.DLL : 10.0.5.0 57192 Bytes 29.06.2011 13:40:23 LUKE.DLL : 10.3.0.5 45416 Bytes 29.06.2011 13:40:24 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 29.06.2011 13:40:24 AVREG.DLL : 10.3.0.9 88833 Bytes 14.07.2011 18:19:45 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:15:11 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 14:15:12 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 06:10:54 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 06:11:02 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 13:07:38 VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 04:43:39 VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 14:55:49 VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 13:01:02 VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 13:01:08 VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 13:01:09 VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 13:01:09 VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 13:01:09 VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 18:15:46 VBASE014.VDF : 7.11.18.145 143872 Bytes 01.12.2011 20:17:07 VBASE015.VDF : 7.11.18.180 173056 Bytes 02.12.2011 20:14:56 VBASE016.VDF : 7.11.18.208 164864 Bytes 05.12.2011 17:27:26 VBASE017.VDF : 7.11.18.239 177152 Bytes 06.12.2011 01:18:30 VBASE018.VDF : 7.11.19.36 171520 Bytes 09.12.2011 19:07:03 VBASE019.VDF : 7.11.19.77 144896 Bytes 13.12.2011 19:07:03 VBASE020.VDF : 7.11.19.115 177664 Bytes 15.12.2011 19:06:51 VBASE021.VDF : 7.11.19.137 139776 Bytes 16.12.2011 22:35:45 VBASE022.VDF : 7.11.19.138 2048 Bytes 16.12.2011 22:35:45 VBASE023.VDF : 7.11.19.139 2048 Bytes 16.12.2011 22:35:45 VBASE024.VDF : 7.11.19.140 2048 Bytes 16.12.2011 22:35:45 VBASE025.VDF : 7.11.19.141 2048 Bytes 16.12.2011 22:35:45 VBASE026.VDF : 7.11.19.142 2048 Bytes 16.12.2011 22:35:45 VBASE027.VDF : 7.11.19.143 2048 Bytes 16.12.2011 22:35:45 VBASE028.VDF : 7.11.19.144 2048 Bytes 16.12.2011 22:35:45 VBASE029.VDF : 7.11.19.145 2048 Bytes 16.12.2011 22:35:45 VBASE030.VDF : 7.11.19.146 2048 Bytes 16.12.2011 22:35:46 VBASE031.VDF : 7.11.19.162 105472 Bytes 19.12.2011 22:35:43 Engineversion : 8.2.8.8 AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 04:54:08 AESCRIPT.DLL : 8.1.3.92 495996 Bytes 16.12.2011 22:36:03 AESCN.DLL : 8.1.7.2 127349 Bytes 28.03.2011 14:14:53 AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 20:21:23 AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 14:00:13 AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 19:07:05 AEOFFICE.DLL : 8.1.2.24 201084 Bytes 16.12.2011 22:36:02 AEHEUR.DLL : 8.1.3.8 4231543 Bytes 16.12.2011 22:36:01 AEHELP.DLL : 8.1.18.0 254327 Bytes 26.10.2011 04:54:03 AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 07:19:47 AEEMU.DLL : 8.1.3.0 393589 Bytes 28.03.2011 14:14:45 AECORE.DLL : 8.1.24.2 201080 Bytes 16.12.2011 22:35:48 AEBB.DLL : 8.1.1.0 53618 Bytes 28.03.2011 14:14:44 AVWINLL.DLL : 10.0.0.0 19304 Bytes 28.03.2011 14:14:57 AVPREF.DLL : 10.0.3.2 44904 Bytes 29.06.2011 13:40:23 AVREP.DLL : 10.0.0.10 174120 Bytes 08.06.2011 06:11:13 AVARKT.DLL : 10.0.26.1 255336 Bytes 29.06.2011 13:40:23 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 29.06.2011 13:40:23 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 28.03.2011 14:14:57 NETNT.DLL : 10.0.0.0 11624 Bytes 28.03.2011 14:15:04 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 29.06.2011 13:40:22 RCTEXT.DLL : 10.0.64.0 98664 Bytes 29.06.2011 13:40:22 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Auszulassende Dateien.................: C:\ADCDA2\AdKey.exe, Beginn des Suchlaufs: Dienstag, 20. Dezember 2011 00:38 Der Suchlauf nach versteckten Objekten wird begonnen. C:\Users\Mark\AppData\Local\Temp\System\audiodgi.exe [FUND] Ist das Trojanische Pferd TR/Starter.A.6 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'firefox.exe' - '105' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '78' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess '__tmp.exe' - '44' Modul(e) wurden durchsucht Modul ist OK -> <C:\Users\Mark\AppData\Local\Temp\__tmp.exe> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'notepad.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpmetwk.exe' - '38' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Mark\AppData\Local\Temp\System\wmpmetwk.exe> [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Prozess 'wmpmetwk.exe' wurde beendet [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8872ef.qua' verschoben! Durchsuche Prozess 'audiodgi.exe' - '44' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Mark\AppData\Local\Temp\System\audiodgi.exe> [FUND] Ist das Trojanische Pferd TR/Starter.A.6 [HINWEIS] Prozess 'audiodgi.exe' wurde beendet [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1078456728-1078075517-4264600183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows® Operating System> wurde erfolgreich repariert. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53135d7d.qua' verschoben! Durchsuche Prozess 'KeyGen.exe' - '47' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Downloads\A120.v2.0.1.2033\Alcohol.120.v2.0.1.2033.Multi.inkl.Deutsch\Full+Betamaster-Keymaker\KeyGen.exe> [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Prozess 'KeyGen.exe' wurde beendet [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '017707a5.qua' verschoben! Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'wmplayer.exe' - '109' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'conime.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'mobsync.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'wmdc.exe' - '94' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'IAAnotif.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '105' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '185' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '82' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '101' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'nvxdsync.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '155' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '118' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Users\Mark\AppData\Local\Temp\System\audiodgi.exe [FUND] Ist das Trojanische Pferd TR/Starter.A.6 [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Downloads\A120.v2.0.1.2033\Alcohol.120.v2.0.1.2033.Multi.inkl.Deutsch\Trial+RmK-AutoLoader\KeyGen.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Users\Mark\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B7QR7DYP\nc2[1].rar [FUND] Ist das Trojanische Pferd TR/Offend.kdv.475617.1 C:\Users\Mark\AppData\Local\Temp\svchost.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Users\Mark\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\66768c7f-7bd4f4ce [0] Archivtyp: ZIP --> support/Pipe.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840 --> support/SendMail.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EO Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: C:\Users\Mark\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\66768c7f-7bd4f4ce [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EO [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '228ba150.qua' verschoben! C:\Users\Mark\AppData\Local\Temp\svchost.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5de49371.qua' verschoben! C:\Users\Mark\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B7QR7DYP\nc2[1].rar [FUND] Ist das Trojanische Pferd TR/Offend.kdv.475617.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '112dbf45.qua' verschoben! C:\Downloads\A120.v2.0.1.2033\Alcohol.120.v2.0.1.2033.Multi.inkl.Deutsch\Trial+RmK-AutoLoader\KeyGen.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6d7eff1b.qua' verschoben! Ende des Suchlaufs: Dienstag, 20. Dezember 2011 06:00 Benötigte Zeit: 1:55:55 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 26125 Verzeichnisse wurden überprüft 383203 Dateien wurden geprüft 9 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 7 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 383193 Dateien ohne Befall 4013 Archive wurden durchsucht 1 Warnungen 8 Hinweise 734741 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
|
21.12.2011, 07:33
| #3 |
| | 470a1245.exe Merkwürdige Verknüpfungen! SpyBot finde ich kein LogFile der hat Irgend was mit Win32 gefunden!
__________________ |
|
21.12.2011, 07:36
| #4 |
| | 470a1245.exe Merkwürdige Verknüpfungen! LogFile OTL OTL.txtOTL Logfile: Code:
ATTFilter OTL logfile created on: 21.12.2011 07:09:34 - Run 2 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\Mark\Downloads Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,99 Gb Total Physical Memory | 1,74 Gb Available Physical Memory | 58,12% Memory free 6,18 Gb Paging File | 4,93 Gb Available in Paging File | 79,77% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 144,09 Gb Total Space | 26,39 Gb Free Space | 18,31% Space Free | Partition Type: NTFS Drive D: | 144,00 Gb Total Space | 98,57 Gb Free Space | 68,45% Space Free | Partition Type: NTFS Drive E: | 698,46 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive H: | 3,69 Gb Total Space | 1,87 Gb Free Space | 50,84% Space Free | Partition Type: FAT32 Computer Name: ZOCKERPALAST | User Name: Mark | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\Mark\AppData\Roaming\regsrv64.exe (nutre iz) PRC - C:\Users\Mark\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation) PRC - C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (NVIDIA Corporation) PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Windows\System32\conime.exe (Microsoft Corporation) PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation) PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) ========== Modules (No Company Name) ========== MOD - C:\Program Files\Mozilla Firefox\mozjs.dll () MOD - C:\Program Files\WinRAR\rarext.dll () ========== Win32 Services (SafeList) ========== SRV - (Autodata Limited License Service) -- C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe (Autodata Limited) SRV - (nvUpdatusService) -- C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AdobeARMservice) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated) SRV - (TomTomHOMEService) -- C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe (TomTom) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation) SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SRV - (WcesComm) -- C:\Windows\WindowsMobile\wcescomm.dll (Microsoft Corporation) SRV - (RapiMgr) -- C:\Windows\WindowsMobile\rapimgr.dll (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (atksgt) -- C:\Windows\System32\drivers\atksgt.sys () DRV - (lirsgt) -- C:\Windows\System32\drivers\lirsgt.sys () DRV - (nocashio) -- C:\Windows\System32\drivers\nocashio.sys () DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys () DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (dtsoftbus01) -- C:\Windows\System32\drivers\dtsoftbus01.sys (DT Soft Ltd) DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.) DRV - (VMC302) -- C:\Windows\System32\drivers\vmc302.sys (Vimicro Corporation) DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation) DRV - (FTSER2K) -- C:\Windows\System32\drivers\ftser2k.sys (FTDI Ltd.) DRV - (FTDIBUS) -- C:\Windows\System32\drivers\ftdibus.sys (FTDI Ltd.) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (winusb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation) DRV - (StarOpen) -- C:\Windows\System32\drivers\StarOpen.sys () DRV - (sscdmdm) -- C:\Windows\System32\drivers\sscdmdm.sys (MCCI) DRV - (sscdmdfl) -- C:\Windows\System32\drivers\sscdmdfl.sys (MCCI) DRV - (sscdbus) SAMSUNG USB Composite Device driver (WDM) -- C:\Windows\System32\drivers\sscdbus.sys (MCCI) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..network.proxy.type: 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011.12.16 23:34:16 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.11.09 08:00:53 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.09.19 23:42:06 | 000,000,000 | ---D | M] [2011.11.15 00:39:24 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mark\AppData\Roaming\mozilla\Extensions [2011.11.15 00:39:24 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mark\AppData\Roaming\mozilla\Extensions\home2@tomtom.com [2011.12.15 23:36:55 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mark\AppData\Roaming\mozilla\Firefox\Profiles\8mn9fxzy.default\extensions [2011.11.21 20:04:06 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\Mark\AppData\Roaming\mozilla\Firefox\Profiles\8mn9fxzy.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2011.11.21 20:15:00 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions [2011.10.06 21:33:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} [2011.11.21 20:15:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} [2011.12.16 23:34:16 | 000,000,000 | ---D | M] (DivX Plus Web Player HTML5 <video>) -- C:\PROGRAM FILES\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\DIVXHTML5 () (No name found) -- C:\USERS\MARK\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\8MN9FXZY.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI [2011.06.07 01:10:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2011.11.09 08:00:53 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2011.10.03 05:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll [2010.01.01 09:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.01.01 09:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2010.01.01 09:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2010.01.01 09:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2010.01.01 09:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2010.01.01 09:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.12.20 06:12:07 | 000,439,314 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 Anti Spyware | Cash Advance | Debt Consolidation | Insurance | Cell Phones at 0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100sexlinks.com - Informationen zum Thema Sex links. Diese Website steht zum Verkauf! O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 15110 more lines... O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe (Intel Corporation) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [Ekzqzu] C:\Users\Mark\AppData\Roaming\Ekzqzu.exe (Mozilla Foundation) O4 - HKCU..\Run: [Microsoft DLL Registration] C:\Users\Mark\AppData\Roaming\regsrv64.exe (nutre iz) O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Mark\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm () O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.51 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9C558510-1552-4ECC-848F-1753DB3AF00D}: DhcpNameServer = 192.168.2.51 O20 - HKLM Winlogon: Shell - (explorer.exe) -C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) -C:\Windows\System32\userinit.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Users\Mark\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O24 - Desktop BackupWallPaper: C:\Users\Mark\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{3e0535e1-a33d-11e0-9020-001377a9f99f}\Shell - "" = AutoRun O33 - MountPoints2\{3e0535e1-a33d-11e0-9020-001377a9f99f}\Shell\AutoRun\command - "" = F:\SETUP.EXE O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.12.21 02:20:44 | 000,274,432 | ---- | C] (Mozilla Foundation) -- C:\Users\Mark\AppData\Roaming\Ekzqzu.exe [2011.12.20 23:20:28 | 000,090,112 | ---- | C] (nutre iz) -- C:\Users\Mark\AppData\Roaming\regsrv64.exe [2011.12.20 23:20:05 | 000,090,112 | ---- | C] (nutre iz) -- C:\Users\Mark\AppData\Roaming\D0E7.exe [2011.12.20 23:10:31 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine [2011.12.20 21:17:56 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\Malwarebytes [2011.12.20 21:17:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2011.12.20 21:17:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2011.12.20 21:17:21 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2011.12.20 21:17:20 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2011.12.19 22:16:02 | 000,203,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\richtx32.ocx [2011.12.19 22:16:02 | 000,140,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\comdlg32.ocx [2011.12.19 22:15:59 | 000,124,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mswinsck.ocx [2011.12.18 01:56:40 | 000,036,864 | ---- | C] (TOSHIBA/MEI) -- C:\Windows\System32\SDDEVMGR.dll [2011.12.18 01:56:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Panasonic [2011.12.18 01:56:40 | 000,000,000 | ---D | C] -- C:\Program Files\Panasonic [2011.12.17 03:00:36 | 000,000,000 | ---D | C] -- C:\Program Files\MSXML 4.0 [2011.12.16 23:35:02 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Local\DDMSettings [2011.12.16 01:01:28 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\GoPal Assistant [2011.12.16 01:01:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Medion GoPal Assistant [2011.12.16 01:01:15 | 000,000,000 | ---D | C] -- C:\Program Files\Medion GoPal Assistant [2011.12.15 23:35:57 | 000,000,000 | ---D | C] -- C:\Users\Mark\Desktop\tomtom [2011.12.15 22:15:04 | 000,000,000 | ---D | C] -- C:\Users\Mark\Documents\My Art [2011.12.15 22:13:12 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\Samsung [2011.12.15 19:28:12 | 000,000,000 | ---D | C] -- C:\Windows\System32\Samsung_USB_Drivers [2011.12.15 19:27:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung PC Studio 3 [2011.12.15 19:27:28 | 000,000,000 | ---D | C] -- C:\Program Files\Samsung [2011.12.15 18:36:20 | 000,000,000 | ---D | C] -- C:\Users\Mark\Desktop\Neuer Ordner [2011.12.15 17:49:24 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb [2011.12.15 17:49:21 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll [2011.12.15 17:49:21 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll [2011.12.15 17:49:20 | 001,798,144 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll [2011.12.15 17:49:19 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll [2011.12.15 17:49:15 | 001,427,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl [2011.12.15 14:37:01 | 003,602,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe [2011.12.15 14:37:01 | 003,550,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe [2011.12.15 14:36:59 | 002,043,904 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys [2011.12.15 14:36:58 | 000,429,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\EncDec.dll [2011.12.15 14:36:58 | 000,049,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\csrsrv.dll [2011.12.15 14:36:54 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll [2011.12.14 23:52:50 | 000,000,000 | ---D | C] -- C:\Users\Mark\Fremdnavi [2011.12.03 02:02:47 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\POI-Warner MN6 Edition [2011.12.03 02:02:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\POI-Warner MN6 Edition [2011.12.02 23:36:26 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\POI-Warner MN7 Edition [2011.11.29 23:03:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\POI-Warner MN7 Edition [2011.11.23 23:47:15 | 000,000,000 | ---D | C] -- C:\Users\Mark\Neuer Ordner [2011.11.21 20:14:58 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe [2011.11.21 20:14:58 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe [2011.11.21 20:14:58 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe [2011.11.21 20:04:13 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\DVDVideoSoft [2011.11.21 20:04:05 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\DVDVideoSoftIEHelpers [2011.11.21 20:03:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft [2011.11.21 20:03:42 | 000,000,000 | ---D | C] -- C:\Users\Mark\Documents\DVDVideoSoft [2011.11.21 20:03:42 | 000,000,000 | ---D | C] -- C:\Program Files\DVDVideoSoft [2011.11.21 20:03:42 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\DVDVideoSoft [3 C:\Users\Mark\AppData\Roaming\*.tmp files -> C:\Users\Mark\AppData\Roaming\*.tmp -> ] [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.12.21 07:04:17 | 000,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2011.12.21 07:04:17 | 000,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2011.12.21 06:44:00 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2011.12.21 02:20:44 | 000,274,432 | ---- | M] (Mozilla Foundation) -- C:\Users\Mark\AppData\Roaming\Ekzqzu.exe [2011.12.20 23:20:05 | 000,090,112 | ---- | M] (nutre iz) -- C:\Users\Mark\AppData\Roaming\regsrv64.exe [2011.12.20 23:20:05 | 000,090,112 | ---- | M] (nutre iz) -- C:\Users\Mark\AppData\Roaming\D0E7.exe [2011.12.20 23:09:32 | 000,639,210 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2011.12.20 23:09:32 | 000,604,764 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2011.12.20 23:09:32 | 000,131,218 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2011.12.20 23:09:32 | 000,108,096 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2011.12.20 23:04:42 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2011.12.20 23:04:17 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.12.20 23:04:15 | 3215,572,992 | -HS- | M] () -- C:\hiberfil.sys [2011.12.20 23:03:01 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat [2011.12.20 21:17:30 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.12.20 06:12:07 | 000,439,314 | R--- | M] () -- C:\Windows\System32\drivers\etc\hosts [2011.12.19 22:16:02 | 000,203,576 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\richtx32.ocx [2011.12.19 22:16:02 | 000,140,288 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\comdlg32.ocx [2011.12.19 22:15:59 | 000,124,688 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\mswinsck.ocx [2011.12.19 00:29:23 | 000,000,519 | ---- | M] () -- C:\Users\Mark\Documents\ax_files.xml [2011.12.18 03:30:10 | 000,047,616 | ---- | M] () -- C:\Users\Mark\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.12.18 01:56:40 | 000,000,745 | ---- | M] () -- C:\Users\Public\Desktop\SDFormatter V2.0.lnk [2011.12.15 23:47:25 | 000,000,000 | ---- | M] () -- C:\ProgramData\LauncherAccess.dt [2011.12.15 23:30:39 | 000,256,800 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT [2011.12.15 19:27:28 | 000,000,773 | ---- | M] () -- C:\Users\Public\Desktop\Samsung PC Studio 3.lnk [2011.12.15 18:06:08 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf [2011.12.12 09:43:49 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl [2011.11.23 21:43:52 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdRapi_01_00_00.Wdf [2011.11.23 14:37:27 | 002,043,904 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys [3 C:\Users\Mark\AppData\Roaming\*.tmp files -> C:\Users\Mark\AppData\Roaming\*.tmp -> ] [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.12.20 21:17:30 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.12.18 01:56:40 | 000,000,745 | ---- | C] () -- C:\Users\Public\Desktop\SDFormatter V2.0.lnk [2011.12.15 20:26:32 | 000,000,000 | ---- | C] () -- C:\ProgramData\LauncherAccess.dt [2011.12.15 19:27:37 | 000,005,632 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys [2011.12.15 19:27:28 | 000,000,773 | ---- | C] () -- C:\Users\Public\Desktop\Samsung PC Studio 3.lnk [2011.12.15 18:06:08 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf [2011.12.02 22:03:27 | 000,001,806 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Mobile Device Center.lnk [2011.12.02 22:03:02 | 000,000,012 | ---- | C] () -- C:\Windows\bthservsdp.dat [2011.11.23 21:43:52 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdRapi_01_00_00.Wdf [2011.10.02 12:32:22 | 000,281,760 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys [2011.10.02 12:32:21 | 000,025,888 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys [2011.10.02 11:43:19 | 000,028,912 | ---- | C] () -- C:\Windows\scunin.dat [2011.09.25 13:45:34 | 000,004,096 | ---- | C] () -- C:\Windows\System32\drivers\nocashio.sys [2011.09.14 13:14:46 | 000,000,000 | -H-- | C] () -- C:\Windows\msds.dat [2011.09.10 22:23:31 | 000,032,810 | ---- | C] () -- C:\Windows\DIIUnin.dat [2011.09.10 21:03:33 | 000,021,840 | ---- | C] () -- C:\Windows\System32\SIntfNT.dll [2011.09.10 21:03:33 | 000,017,212 | ---- | C] () -- C:\Windows\System32\SIntf32.dll [2011.09.10 21:03:33 | 000,012,067 | ---- | C] () -- C:\Windows\System32\SIntf16.dll [2011.07.31 20:54:16 | 000,000,092 | ---- | C] () -- C:\Users\Mark\AppData\Local\fusioncache.dat [2011.07.09 16:27:06 | 000,032,256 | ---- | C] () -- C:\Windows\System32\AVSredirect.dll [2011.07.05 21:43:22 | 000,000,275 | ---- | C] () -- C:\Users\Mark\AppData\Local\HamsterVideoConverterSettings.cfg [2011.06.07 15:37:55 | 000,047,616 | ---- | C] () -- C:\Users\Mark\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.06.07 01:00:12 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2011.06.07 00:59:33 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin [2011.06.06 23:03:41 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin [2011.05.31 19:31:26 | 000,000,680 | ---- | C] () -- C:\Users\Mark\AppData\Local\d3d9caps.dat [2008.01.21 08:15:58 | 000,639,210 | ---- | C] () -- C:\Windows\System32\perfh007.dat [2008.01.21 08:15:58 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat [2008.01.21 08:15:58 | 000,131,218 | ---- | C] () -- C:\Windows\System32\perfc007.dat [2008.01.21 08:15:58 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat [2006.11.02 13:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2006.11.02 13:47:37 | 000,256,800 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT [2006.11.02 13:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 11:33:01 | 000,604,764 | ---- | C] () -- C:\Windows\System32\perfh009.dat [2006.11.02 11:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat [2006.11.02 11:33:01 | 000,108,096 | ---- | C] () -- C:\Windows\System32\perfc009.dat [2006.11.02 11:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat [2006.11.02 11:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat [2006.11.02 09:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin [2006.11.02 09:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT [2006.11.02 08:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini [2006.11.02 08:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat [2006.03.09 08:58:00 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll ========== Alternate Data Streams ========== @Alternate Data Stream - 215 bytes -> C:\ProgramData\TEMP:C68DE4A3 < End of report > extras.txtOTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 21.12.2011 07:09:34 - Run 2
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\Mark\Downloads
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,99 Gb Total Physical Memory | 1,74 Gb Available Physical Memory | 58,12% Memory free
6,18 Gb Paging File | 4,93 Gb Available in Paging File | 79,77% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 144,09 Gb Total Space | 26,39 Gb Free Space | 18,31% Space Free | Partition Type: NTFS
Drive D: | 144,00 Gb Total Space | 98,57 Gb Free Space | 68,45% Space Free | Partition Type: NTFS
Drive E: | 698,46 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive H: | 3,69 Gb Total Space | 1,87 Gb Free Space | 50,84% Space Free | Partition Type: FAT32
Computer Name: ZOCKERPALAST | User Name: Mark | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
========== Authorized Applications List ==========
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{022C51D7-0D78-4FCF-9DEB-0DACE8D4F25F}" = rport=445 | protocol=6 | dir=out | app=system |
"{0440ECEC-265E-4216-B9BF-1F2CB478C748}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{0CA0E167-6C6A-47BD-9951-E785E565700F}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{12C2107E-735F-45EB-98C6-00B6B329C880}" = lport=137 | protocol=17 | dir=in | app=system |
"{16AEE594-97A3-47AD-AF13-4363F7C6F204}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{17829167-16A7-47B6-AB03-BB095D334DD5}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{1EC4110C-9023-4F3E-A756-1683A982CCB0}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{1F71E5F0-681A-4D8A-9D60-0D58151877D6}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) |
"{24285F5C-2CDF-48B7-9D0F-C57FF05410FE}" = rport=10243 | protocol=6 | dir=out | app=system |
"{2C81214D-4229-4521-8025-8D8AE84F2226}" = lport=554 | protocol=6 | dir=in | app=%systemroot%\ehome\ehshell.exe |
"{3768C9EF-CB6E-465E-8C30-04B5576C468C}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{39D2CF27-F29C-40F2-B20C-1215DE04BE09}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{3BA56FD2-98C1-4631-B508-56E3ABE3956F}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{5063FD09-A321-4F3A-974C-27874B3A3682}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{5074FBFF-132D-4B6E-8491-9C6B5B075BC3}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{55D3CFB3-9E6F-44D0-A545-A40AF0BDB52A}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{59B3FDFE-4E29-4BF1-A6DF-B1E52CBBF28B}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{60AB2863-2EFA-42FF-979C-75ACDA1F1C3C}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{7D22FAB3-09E5-4FDD-B457-A314DE2C9D32}" = lport=7777 | protocol=17 | dir=in | app=%systemroot%\ehome\ehshell.exe |
"{8BAB0C64-985A-4B73-806A-D9FB82302F4A}" = lport=3390 | protocol=6 | dir=in | app=system |
"{90C086E4-3034-414B-B427-805DCFF9B85D}" = rport=137 | protocol=17 | dir=out | app=system |
"{9AC9408D-8D7B-4AE6-96F4-95327919C7CA}" = rport=139 | protocol=6 | dir=out | app=system |
"{9ED63171-B763-43F5-8AB4-199B89B41EC8}" = lport=10243 | protocol=6 | dir=in | app=system |
"{A0B3AC13-436D-4669-BD31-5B93C842927B}" = lport=2869 | protocol=6 | dir=in | app=system |
"{A37BD592-7D1B-4544-BD82-248B2D069989}" = rport=10244 | protocol=6 | dir=out | app=system |
"{A60D7951-5787-4C0C-B531-842186CC5F10}" = lport=445 | protocol=6 | dir=in | app=system |
"{AA2BB8A5-09D9-4CFD-881B-A77166ED36F1}" = lport=10244 | protocol=6 | dir=in | app=system |
"{AD525BE0-7461-45EE-B325-F0003C1B0E31}" = lport=554 | protocol=6 | dir=in | app=%systemroot%\ehome\ehshell.exe |
"{BC02E5C4-870E-4096-ADFD-78CA1BA90F8E}" = lport=10244 | protocol=6 | dir=in | app=system |
"{CCC7FF1E-14F6-4FDB-85B9-D6738460EE40}" = rport=10244 | protocol=6 | dir=out | app=system |
"{CD8014A6-DE5F-45D7-BDE8-967AE99FB2F3}" = lport=138 | protocol=17 | dir=in | app=system |
"{D36ED039-A5DC-4BD9-8F9F-030B9BA69FCA}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{D56EAAC7-2B35-4687-AA0B-4BA0B7FDD7F1}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{D9CA9D00-A782-42E0-9D32-82EBD5C9563F}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{E2D2B7C3-8AFB-4ECA-A577-FE101DDE7331}" = lport=139 | protocol=6 | dir=in | app=system |
"{E35F6385-DA1D-402C-92B9-0F154AFE7C24}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{E3FF406C-2627-44A8-A6A8-9AEBA230F186}" = rport=138 | protocol=17 | dir=out | app=system |
"{E438ABCC-E3A9-428E-8260-9329A6BE59A2}" = lport=3390 | protocol=6 | dir=in | app=system |
"{E49795CF-B683-482A-9E82-6FC8128285A6}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{EA6490E5-043E-4DA9-8835-E474719C3732}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{ED385C7A-FFAB-4C89-B851-46812B5A9870}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) |
"{EDE1EE09-CC20-4DC1-AD7B-255A6964BF8C}" = lport=7777 | protocol=17 | dir=in | app=%systemroot%\ehome\ehshell.exe |
"{F9EB9460-0657-4C31-8434-E35B9C717DBE}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0076D052-85FA-46EF-9EE0-F8AD34F1CAAB}" = protocol=6 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"{043B44AD-14D7-455F-B69C-849011782BAF}" = protocol=6 | dir=out | app=%systemroot%\ehome\ehshell.exe |
"{053EC4B1-0DC4-4B84-B3A3-1CC5C5F440FD}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe |
"{09A6C228-AF0F-4A68-A400-0E6F5575D030}" = protocol=17 | dir=out | app=%systemroot%\ehome\ehshell.exe |
"{1C700E94-973A-4BC3-8C3C-D41F2E82B0FE}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{1D9B9748-4FC0-44AC-86EF-4FCB5A7800B0}" = protocol=6 | dir=out | svc=mcx2svc | app=%systemroot%\system32\svchost.exe |
"{1DA1C248-91A3-4A6D-AFB6-698EF4027004}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{1F7036E0-CAE5-4142-A1E8-8CBF9CCFDC84}" = dir=in | app=c:\program files\windows live\mesh\moe.exe |
"{2040333D-E4AA-4681-A83F-5326AB8A4AA5}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{2897A5FF-E75C-473B-B5B4-5BF75E860325}" = dir=in | app=c:\program files\windows live\contacts\wlcomm.exe |
"{35975A7C-6AD3-4F8F-921B-952435447C79}" = protocol=6 | dir=out | app=%systemroot%\ehome\mcx2prov.exe |
"{3DCC1800-F743-47E8-A0A3-3B4CF27BACFB}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{40224FC3-D361-4D83-A9C1-B6CFE6F514B9}" = protocol=17 | dir=out | app=%systemroot%\ehome\ehshell.exe |
"{60AE2EE9-779F-4775-851D-0BB09343E3F4}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{6FC012E5-FFAB-402E-A85D-84E294C3189D}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{910AA55F-1D9C-4AD0-AE22-E9F13549EA9A}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{95A3460C-26F5-49DC-B581-5F217C9EF9AD}" = dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"{96766337-D82B-4E52-972D-F6692B5D4B20}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{9D00158E-0DD0-4615-8D15-EE1C1661132F}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{9D65EF5B-6F33-4E35-89EE-DB637C53A358}" = protocol=6 | dir=out | app=%systemroot%\ehome\ehshell.exe |
"{A3D44081-B3DE-41C3-863C-5389D9BDDEA4}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{B30F9A96-01B3-4361-B41A-DDEAE9968B88}" = protocol=17 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"{B5B23A4C-6A85-4EC7-A56D-4A059CCEE89D}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{B79D0143-D26F-404C-9F73-BC989B3C4DE2}" = protocol=6 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"{C1807CA2-0DF9-47AB-ADD5-DA2E76A1466E}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{C6D438E6-E0B3-443A-9364-CEBAADE8BBB4}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{D29433E3-4ABD-4C52-B293-8C527F711114}" = protocol=6 | dir=out | svc=mcx2svc | app=%systemroot%\system32\svchost.exe |
"{D611E424-335F-4BE5-92CF-C32E409BB725}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{DB458AEE-FFCE-4CE5-AE45-704F01462B90}" = protocol=6 | dir=out | app=system |
"{EA8CC5E3-64C5-468C-A0CD-94A474653F21}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{EF46C681-405E-45E0-90AE-C9C4FBD4F223}" = protocol=6 | dir=out | app=%systemroot%\ehome\mcx2prov.exe |
"{FC46921D-C50A-4965-86F1-79F51763199F}" = protocol=17 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"TCP Query User{1BF489B7-C176-4E60-AF44-9A0264043141}D:\spiele\starcraft\starcraft.exe" = protocol=6 | dir=in | app=d:\spiele\starcraft\starcraft.exe |
"TCP Query User{61104B7D-C5F9-447B-B988-CAC8CB944371}D:\spiele\anno1404\tools\addonweb.exe" = protocol=6 | dir=in | app=d:\spiele\anno1404\tools\addonweb.exe |
"TCP Query User{69952E04-181E-422B-87BD-9CC6EF9E07DC}C:\program files\java\jre6\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe |
"TCP Query User{77F546EA-371A-43A5-B799-CF89781847F9}C:\windows\system32\java.exe" = protocol=6 | dir=in | app=c:\windows\system32\java.exe |
"TCP Query User{A2C5C0BB-9667-4C3A-889B-6D2D3556D2FE}D:\spiele\anno1404\tools\addonweb.exe" = protocol=6 | dir=in | app=d:\spiele\anno1404\tools\addonweb.exe |
"TCP Query User{CB35DCAD-B117-4CFF-9ECA-27DA3CE5372F}D:\spiele\lotr\lotroclient.exe" = protocol=6 | dir=in | app=d:\spiele\lotr\lotroclient.exe |
"TCP Query User{D744B1C0-369E-4039-8135-1070F184B6DE}D:\spiele\anno1404\tools\anno4web.exe" = protocol=6 | dir=in | app=d:\spiele\anno1404\tools\anno4web.exe |
"UDP Query User{02715343-9C8B-41A6-B3F8-CCB49E02A2A4}C:\program files\java\jre6\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe |
"UDP Query User{5152CDE8-9280-4328-9A1E-D0D540DBE54E}D:\spiele\anno1404\tools\addonweb.exe" = protocol=17 | dir=in | app=d:\spiele\anno1404\tools\addonweb.exe |
"UDP Query User{54851862-9A2B-4FB1-B367-60D2437BC931}C:\windows\system32\java.exe" = protocol=17 | dir=in | app=c:\windows\system32\java.exe |
"UDP Query User{587869E9-B0AF-4C53-8C22-D8367A648BD4}D:\spiele\lotr\lotroclient.exe" = protocol=17 | dir=in | app=d:\spiele\lotr\lotroclient.exe |
"UDP Query User{EFD8DF6A-D351-4AB1-8FD0-B0E6DEF1BF51}D:\spiele\starcraft\starcraft.exe" = protocol=17 | dir=in | app=d:\spiele\starcraft\starcraft.exe |
"UDP Query User{F6B50CA2-0E17-4E3B-9A98-E8111F52EB9A}D:\spiele\anno1404\tools\addonweb.exe" = protocol=17 | dir=in | app=d:\spiele\anno1404\tools\addonweb.exe |
"UDP Query User{FCB6CA5C-A3A0-4C91-99F9-471045F62556}D:\spiele\anno1404\tools\anno4web.exe" = protocol=17 | dir=in | app=d:\spiele\anno1404\tools\anno4web.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02602409-9189-4567-BC07-562605243B69}" = Windows Live Remote Client Resources
"{0481A2EA-DA1D-4D10-A7C3-F8237948F6B5}" = Messenger Companion
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{19A4A990-5343-4FF7-B3B5-6F046C091EDF}" = Windows Live Remote Client
"{1A2000AF-79DE-47FB-8411-BA22F981917F}" = Tropico 2: Die Pirateninsel
"{1BA1DBDC-5431-46FD-A66F-A17EB1C439EE}" = Windows Live Messenger
"{1DDB95A4-FD7B-4517-B3F1-2BCAA96879E6}" = Windows Live Writer Resources
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F2A5DF9-40E1-4644-ADBD-D80F347BA6C8}" = Windows Mobile-Gerätecenter
"{1F6AB0E7-8CDD-4B93-8A23-AA9EB2FEFCE4}" = Junk Mail filter update
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{227E8782-B2F4-4E97-B0EE-49DE9CC1C0C0}" = Windows Live Remote Service
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java(TM) 6 Update 29
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{3A65A74A-5B6E-451A-92D8-50F1182BBE9A}" = Windows Live Remote Service Resources
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5482DCBE-D2D1-47B0-A621-DF8E2B0D174C}" = Windows Live Family Safety
"{5A347920-4AFC-11D5-9FB0-800649886934}" = SDFormatter
"{5DD4FCBD-A3C1-4155-9E17-4161C70AAABA}" = Segoe UI
"{65B43D6A-6B8F-46F1-8362-7985822F3A80}_is1" = D2SE V2.2.0
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71D74FCD-8DB9-4BEB-9C9D-1D19F2E02AE3}" = Microsoft Report Viewer Redistributable 2005
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7635D07D-B727-496F-94CA-8AC60E0C40CE}" = Microsoft Report Viewer Redistributable 2005
"{78A96B4C-A643-4D0F-98C2-A8E16A6669F9}" = Windows Live Messenger Companion Core
"{7E350663-86D3-466A-AB79-28156A9ABF6E}_is1" = Hamster Free VideoConvertor
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{859D4022-B76D-40DE-96EF-C90CDA263F44}" = Windows Live Writer
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C6D6116-B724-4810-8F2D-D047E6B7D68E}" = Mesh Runtime
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{91B7CEB3-4331-427B-AA7A-2898BE8F9DC6}" = Samsung PC Studio 3
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D56775A-93F3-44A3-8092-840E3826DE30}" = Windows Live Mail
"{A07B2C21-863B-47AB-AE7E-20BB00BD7D33}" = ANNO 1404 - Venedig
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A726AE06-AAA3-43D1-87E3-70F510314F04}" = Windows Live Writer
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}" = Windows Live Writer
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{ACFBE99B-6981-4513-B17E-A2683CEB9EE5}" = Windows Live Mesh
"{AF844339-2F8A-4593-81B3-9F4C54038C4E}" = Windows Live MIME IFilter
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B1239994-A850-44E2-BED8-E70A21124E16}" = Windows Live Mail
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.4.28
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver" = NVIDIA HD-Audiotreiber 1.2.23.3
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{BCF16F16-AC0E-4ABE-A9EF-412CF484BA51}" = Windows Live Family Safety
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio 3
"{C5398A89-516C-4DAF-BA07-EE7949090E56}" = Windows Live Mesh ActiveX control for remote connections
"{C6150D8A-86ED-41D3-87BB-F3BB51B0B77F}" = Windows Live ID Sign-in Assistant
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CB8CA439-DA83-419C-A4CF-5A0A50025144}" = Windows Mobile-Gerätecenter: Treiberupdate
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{DECDCB7C-58CC-4865-91AF-627F9798FE48}" = Windows Live Mesh
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{E5B21F11-6933-4E0B-A25C-7963E3C07D11}" = Windows Live Messenger
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"1489-3350-5074-6281" = JDownloader 0.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Assistant" = Assistant 5.05.013
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Car Diagnostic Center 2009 Free Edition_is1" = Car Diagnostic Center 2009 Free Edition
"DAEMON Tools Lite" = DAEMON Tools Lite
"Diablo II" = Diablo II
"DivX Setup" = DivX-Setup
"Dungeon Keeper II" = Dungeon Keeper 2
"Eusing Free Registry Cleaner" = Eusing Free Registry Cleaner
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.12.1117
"LucasArts' Monkey4" = LucasArts' Monkey4
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft Report Viewer Redistributable 2005" = Microsoft Report Viewer Redistributable 2005
"moDiag_is1" = moDiag professional 2.0.0
"Mozilla Firefox 8.0 (x86 de)" = Mozilla Firefox 8.0 (x86 de)
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"ScummVM_is1" = ScummVM Git
"Starcraft" = Starcraft
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Tales of Monkey Island" = Tales of Monkey Island
"TomTom HOME" = TomTom HOME 2.8.2.2264
"Tropico3" = Tropico 3 1.00
"VLC media player" = VLC media player 1.1.11
"WinLiveSuite" = Windows Live Essentials
"WinRAR archiver" = WinRAR 4.00 (32-Bit)
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dr_Brain_GJ_Vol2" = Dr_Brain_GJ_Vol2
========== Last 10 Event Log Errors ==========
Error reading Event Logs: The Event Service is not operating properly or the Event Logs are corrupt!
< End of report >
|
|
21.12.2011, 07:38
| #5 |
| | 470a1245.exe Merkwürdige Verknüpfungen! LogFile OTL OTL.txtOTL Logfile: Code:
ATTFilter OTL logfile created on: 21.12.2011 07:09:34 - Run 2 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\Mark\Downloads Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,99 Gb Total Physical Memory | 1,74 Gb Available Physical Memory | 58,12% Memory free 6,18 Gb Paging File | 4,93 Gb Available in Paging File | 79,77% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 144,09 Gb Total Space | 26,39 Gb Free Space | 18,31% Space Free | Partition Type: NTFS Drive D: | 144,00 Gb Total Space | 98,57 Gb Free Space | 68,45% Space Free | Partition Type: NTFS Drive E: | 698,46 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive H: | 3,69 Gb Total Space | 1,87 Gb Free Space | 50,84% Space Free | Partition Type: FAT32 Computer Name: ZOCKERPALAST | User Name: Mark | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\Mark\AppData\Roaming\regsrv64.exe (nutre iz) PRC - C:\Users\Mark\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation) PRC - C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (NVIDIA Corporation) PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Windows\System32\conime.exe (Microsoft Corporation) PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation) PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) ========== Modules (No Company Name) ========== MOD - C:\Program Files\Mozilla Firefox\mozjs.dll () MOD - C:\Program Files\WinRAR\rarext.dll () ========== Win32 Services (SafeList) ========== SRV - (Autodata Limited License Service) -- C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe (Autodata Limited) SRV - (nvUpdatusService) -- C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AdobeARMservice) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated) SRV - (TomTomHOMEService) -- C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe (TomTom) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation) SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SRV - (WcesComm) -- C:\Windows\WindowsMobile\wcescomm.dll (Microsoft Corporation) SRV - (RapiMgr) -- C:\Windows\WindowsMobile\rapimgr.dll (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (atksgt) -- C:\Windows\System32\drivers\atksgt.sys () DRV - (lirsgt) -- C:\Windows\System32\drivers\lirsgt.sys () DRV - (nocashio) -- C:\Windows\System32\drivers\nocashio.sys () DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys () DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (dtsoftbus01) -- C:\Windows\System32\drivers\dtsoftbus01.sys (DT Soft Ltd) DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.) DRV - (VMC302) -- C:\Windows\System32\drivers\vmc302.sys (Vimicro Corporation) DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation) DRV - (FTSER2K) -- C:\Windows\System32\drivers\ftser2k.sys (FTDI Ltd.) DRV - (FTDIBUS) -- C:\Windows\System32\drivers\ftdibus.sys (FTDI Ltd.) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (winusb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation) DRV - (StarOpen) -- C:\Windows\System32\drivers\StarOpen.sys () DRV - (sscdmdm) -- C:\Windows\System32\drivers\sscdmdm.sys (MCCI) DRV - (sscdmdfl) -- C:\Windows\System32\drivers\sscdmdfl.sys (MCCI) DRV - (sscdbus) SAMSUNG USB Composite Device driver (WDM) -- C:\Windows\System32\drivers\sscdbus.sys (MCCI) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..network.proxy.type: 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011.12.16 23:34:16 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.11.09 08:00:53 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.09.19 23:42:06 | 000,000,000 | ---D | M] [2011.11.15 00:39:24 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mark\AppData\Roaming\mozilla\Extensions [2011.11.15 00:39:24 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mark\AppData\Roaming\mozilla\Extensions\home2@tomtom.com [2011.12.15 23:36:55 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mark\AppData\Roaming\mozilla\Firefox\Profiles\8mn9fxzy.default\extensions [2011.11.21 20:04:06 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\Mark\AppData\Roaming\mozilla\Firefox\Profiles\8mn9fxzy.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2011.11.21 20:15:00 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions [2011.10.06 21:33:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} [2011.11.21 20:15:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} [2011.12.16 23:34:16 | 000,000,000 | ---D | M] (DivX Plus Web Player HTML5 <video>) -- C:\PROGRAM FILES\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\DIVXHTML5 () (No name found) -- C:\USERS\MARK\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\8MN9FXZY.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI [2011.06.07 01:10:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2011.11.09 08:00:53 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2011.10.03 05:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll [2010.01.01 09:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.01.01 09:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2010.01.01 09:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2010.01.01 09:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2010.01.01 09:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2010.01.01 09:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.12.20 06:12:07 | 000,439,314 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 Anti Spyware | Cash Advance | Debt Consolidation | Insurance | Cell Phones at 0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100sexlinks.com - Informationen zum Thema Sex links. Diese Website steht zum Verkauf! O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 15110 more lines... O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe (Intel Corporation) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [Ekzqzu] C:\Users\Mark\AppData\Roaming\Ekzqzu.exe (Mozilla Foundation) O4 - HKCU..\Run: [Microsoft DLL Registration] C:\Users\Mark\AppData\Roaming\regsrv64.exe (nutre iz) O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Mark\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm () O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.51 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9C558510-1552-4ECC-848F-1753DB3AF00D}: DhcpNameServer = 192.168.2.51 O20 - HKLM Winlogon: Shell - (explorer.exe) -C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) -C:\Windows\System32\userinit.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Users\Mark\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O24 - Desktop BackupWallPaper: C:\Users\Mark\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{3e0535e1-a33d-11e0-9020-001377a9f99f}\Shell - "" = AutoRun O33 - MountPoints2\{3e0535e1-a33d-11e0-9020-001377a9f99f}\Shell\AutoRun\command - "" = F:\SETUP.EXE O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.12.21 02:20:44 | 000,274,432 | ---- | C] (Mozilla Foundation) -- C:\Users\Mark\AppData\Roaming\Ekzqzu.exe [2011.12.20 23:20:28 | 000,090,112 | ---- | C] (nutre iz) -- C:\Users\Mark\AppData\Roaming\regsrv64.exe [2011.12.20 23:20:05 | 000,090,112 | ---- | C] (nutre iz) -- C:\Users\Mark\AppData\Roaming\D0E7.exe [2011.12.20 23:10:31 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine [2011.12.20 21:17:56 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\Malwarebytes [2011.12.20 21:17:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2011.12.20 21:17:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2011.12.20 21:17:21 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2011.12.20 21:17:20 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2011.12.19 22:16:02 | 000,203,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\richtx32.ocx [2011.12.19 22:16:02 | 000,140,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\comdlg32.ocx [2011.12.19 22:15:59 | 000,124,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mswinsck.ocx [2011.12.18 01:56:40 | 000,036,864 | ---- | C] (TOSHIBA/MEI) -- C:\Windows\System32\SDDEVMGR.dll [2011.12.18 01:56:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Panasonic [2011.12.18 01:56:40 | 000,000,000 | ---D | C] -- C:\Program Files\Panasonic [2011.12.17 03:00:36 | 000,000,000 | ---D | C] -- C:\Program Files\MSXML 4.0 [2011.12.16 23:35:02 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Local\DDMSettings [2011.12.16 01:01:28 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\GoPal Assistant [2011.12.16 01:01:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Medion GoPal Assistant [2011.12.16 01:01:15 | 000,000,000 | ---D | C] -- C:\Program Files\Medion GoPal Assistant [2011.12.15 23:35:57 | 000,000,000 | ---D | C] -- C:\Users\Mark\Desktop\tomtom [2011.12.15 22:15:04 | 000,000,000 | ---D | C] -- C:\Users\Mark\Documents\My Art [2011.12.15 22:13:12 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\Samsung [2011.12.15 19:28:12 | 000,000,000 | ---D | C] -- C:\Windows\System32\Samsung_USB_Drivers [2011.12.15 19:27:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung PC Studio 3 [2011.12.15 19:27:28 | 000,000,000 | ---D | C] -- C:\Program Files\Samsung [2011.12.15 18:36:20 | 000,000,000 | ---D | C] -- C:\Users\Mark\Desktop\Neuer Ordner [2011.12.15 17:49:24 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb [2011.12.15 17:49:21 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll [2011.12.15 17:49:21 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll [2011.12.15 17:49:20 | 001,798,144 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll [2011.12.15 17:49:19 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll [2011.12.15 17:49:15 | 001,427,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl [2011.12.15 14:37:01 | 003,602,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe [2011.12.15 14:37:01 | 003,550,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe [2011.12.15 14:36:59 | 002,043,904 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys [2011.12.15 14:36:58 | 000,429,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\EncDec.dll [2011.12.15 14:36:58 | 000,049,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\csrsrv.dll [2011.12.15 14:36:54 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll [2011.12.14 23:52:50 | 000,000,000 | ---D | C] -- C:\Users\Mark\Fremdnavi [2011.12.03 02:02:47 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\POI-Warner MN6 Edition [2011.12.03 02:02:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\POI-Warner MN6 Edition [2011.12.02 23:36:26 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\POI-Warner MN7 Edition [2011.11.29 23:03:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\POI-Warner MN7 Edition [2011.11.23 23:47:15 | 000,000,000 | ---D | C] -- C:\Users\Mark\Neuer Ordner [2011.11.21 20:14:58 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe [2011.11.21 20:14:58 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe [2011.11.21 20:14:58 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe [2011.11.21 20:04:13 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\DVDVideoSoft [2011.11.21 20:04:05 | 000,000,000 | ---D | C] -- C:\Users\Mark\AppData\Roaming\DVDVideoSoftIEHelpers [2011.11.21 20:03:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft [2011.11.21 20:03:42 | 000,000,000 | ---D | C] -- C:\Users\Mark\Documents\DVDVideoSoft [2011.11.21 20:03:42 | 000,000,000 | ---D | C] -- C:\Program Files\DVDVideoSoft [2011.11.21 20:03:42 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\DVDVideoSoft [3 C:\Users\Mark\AppData\Roaming\*.tmp files -> C:\Users\Mark\AppData\Roaming\*.tmp -> ] [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.12.21 07:04:17 | 000,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2011.12.21 07:04:17 | 000,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2011.12.21 06:44:00 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2011.12.21 02:20:44 | 000,274,432 | ---- | M] (Mozilla Foundation) -- C:\Users\Mark\AppData\Roaming\Ekzqzu.exe [2011.12.20 23:20:05 | 000,090,112 | ---- | M] (nutre iz) -- C:\Users\Mark\AppData\Roaming\regsrv64.exe [2011.12.20 23:20:05 | 000,090,112 | ---- | M] (nutre iz) -- C:\Users\Mark\AppData\Roaming\D0E7.exe [2011.12.20 23:09:32 | 000,639,210 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2011.12.20 23:09:32 | 000,604,764 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2011.12.20 23:09:32 | 000,131,218 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2011.12.20 23:09:32 | 000,108,096 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2011.12.20 23:04:42 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2011.12.20 23:04:17 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.12.20 23:04:15 | 3215,572,992 | -HS- | M] () -- C:\hiberfil.sys [2011.12.20 23:03:01 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat [2011.12.20 21:17:30 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.12.20 06:12:07 | 000,439,314 | R--- | M] () -- C:\Windows\System32\drivers\etc\hosts [2011.12.19 22:16:02 | 000,203,576 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\richtx32.ocx [2011.12.19 22:16:02 | 000,140,288 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\comdlg32.ocx [2011.12.19 22:15:59 | 000,124,688 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\mswinsck.ocx [2011.12.19 00:29:23 | 000,000,519 | ---- | M] () -- C:\Users\Mark\Documents\ax_files.xml [2011.12.18 03:30:10 | 000,047,616 | ---- | M] () -- C:\Users\Mark\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.12.18 01:56:40 | 000,000,745 | ---- | M] () -- C:\Users\Public\Desktop\SDFormatter V2.0.lnk [2011.12.15 23:47:25 | 000,000,000 | ---- | M] () -- C:\ProgramData\LauncherAccess.dt [2011.12.15 23:30:39 | 000,256,800 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT [2011.12.15 19:27:28 | 000,000,773 | ---- | M] () -- C:\Users\Public\Desktop\Samsung PC Studio 3.lnk [2011.12.15 18:06:08 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf [2011.12.12 09:43:49 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl [2011.11.23 21:43:52 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdRapi_01_00_00.Wdf [2011.11.23 14:37:27 | 002,043,904 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys [3 C:\Users\Mark\AppData\Roaming\*.tmp files -> C:\Users\Mark\AppData\Roaming\*.tmp -> ] [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.12.20 21:17:30 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.12.18 01:56:40 | 000,000,745 | ---- | C] () -- C:\Users\Public\Desktop\SDFormatter V2.0.lnk [2011.12.15 20:26:32 | 000,000,000 | ---- | C] () -- C:\ProgramData\LauncherAccess.dt [2011.12.15 19:27:37 | 000,005,632 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys [2011.12.15 19:27:28 | 000,000,773 | ---- | C] () -- C:\Users\Public\Desktop\Samsung PC Studio 3.lnk [2011.12.15 18:06:08 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf [2011.12.02 22:03:27 | 000,001,806 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Mobile Device Center.lnk [2011.12.02 22:03:02 | 000,000,012 | ---- | C] () -- C:\Windows\bthservsdp.dat [2011.11.23 21:43:52 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdRapi_01_00_00.Wdf [2011.10.02 12:32:22 | 000,281,760 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys [2011.10.02 12:32:21 | 000,025,888 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys [2011.10.02 11:43:19 | 000,028,912 | ---- | C] () -- C:\Windows\scunin.dat [2011.09.25 13:45:34 | 000,004,096 | ---- | C] () -- C:\Windows\System32\drivers\nocashio.sys [2011.09.14 13:14:46 | 000,000,000 | -H-- | C] () -- C:\Windows\msds.dat [2011.09.10 22:23:31 | 000,032,810 | ---- | C] () -- C:\Windows\DIIUnin.dat [2011.09.10 21:03:33 | 000,021,840 | ---- | C] () -- C:\Windows\System32\SIntfNT.dll [2011.09.10 21:03:33 | 000,017,212 | ---- | C] () -- C:\Windows\System32\SIntf32.dll [2011.09.10 21:03:33 | 000,012,067 | ---- | C] () -- C:\Windows\System32\SIntf16.dll [2011.07.31 20:54:16 | 000,000,092 | ---- | C] () -- C:\Users\Mark\AppData\Local\fusioncache.dat [2011.07.09 16:27:06 | 000,032,256 | ---- | C] () -- C:\Windows\System32\AVSredirect.dll [2011.07.05 21:43:22 | 000,000,275 | ---- | C] () -- C:\Users\Mark\AppData\Local\HamsterVideoConverterSettings.cfg [2011.06.07 15:37:55 | 000,047,616 | ---- | C] () -- C:\Users\Mark\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.06.07 01:00:12 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2011.06.07 00:59:33 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin [2011.06.06 23:03:41 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin [2011.05.31 19:31:26 | 000,000,680 | ---- | C] () -- C:\Users\Mark\AppData\Local\d3d9caps.dat [2008.01.21 08:15:58 | 000,639,210 | ---- | C] () -- C:\Windows\System32\perfh007.dat [2008.01.21 08:15:58 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat [2008.01.21 08:15:58 | 000,131,218 | ---- | C] () -- C:\Windows\System32\perfc007.dat [2008.01.21 08:15:58 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat [2006.11.02 13:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2006.11.02 13:47:37 | 000,256,800 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT [2006.11.02 13:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 11:33:01 | 000,604,764 | ---- | C] () -- C:\Windows\System32\perfh009.dat [2006.11.02 11:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat [2006.11.02 11:33:01 | 000,108,096 | ---- | C] () -- C:\Windows\System32\perfc009.dat [2006.11.02 11:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat [2006.11.02 11:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat [2006.11.02 09:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin [2006.11.02 09:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT [2006.11.02 08:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini [2006.11.02 08:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat [2006.03.09 08:58:00 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll ========== Alternate Data Streams ========== @Alternate Data Stream - 215 bytes -> C:\ProgramData\TEMP:C68DE4A3 < End of report > extras.txtOTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 21.12.2011 07:09:34 - Run 2
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\Mark\Downloads
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,99 Gb Total Physical Memory | 1,74 Gb Available Physical Memory | 58,12% Memory free
6,18 Gb Paging File | 4,93 Gb Available in Paging File | 79,77% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 144,09 Gb Total Space | 26,39 Gb Free Space | 18,31% Space Free | Partition Type: NTFS
Drive D: | 144,00 Gb Total Space | 98,57 Gb Free Space | 68,45% Space Free | Partition Type: NTFS
Drive E: | 698,46 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive H: | 3,69 Gb Total Space | 1,87 Gb Free Space | 50,84% Space Free | Partition Type: FAT32
Computer Name: ZOCKERPALAST | User Name: Mark | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
========== Authorized Applications List ==========
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{022C51D7-0D78-4FCF-9DEB-0DACE8D4F25F}" = rport=445 | protocol=6 | dir=out | app=system |
"{0440ECEC-265E-4216-B9BF-1F2CB478C748}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{0CA0E167-6C6A-47BD-9951-E785E565700F}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{12C2107E-735F-45EB-98C6-00B6B329C880}" = lport=137 | protocol=17 | dir=in | app=system |
"{16AEE594-97A3-47AD-AF13-4363F7C6F204}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{17829167-16A7-47B6-AB03-BB095D334DD5}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{1EC4110C-9023-4F3E-A756-1683A982CCB0}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{1F71E5F0-681A-4D8A-9D60-0D58151877D6}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) |
"{24285F5C-2CDF-48B7-9D0F-C57FF05410FE}" = rport=10243 | protocol=6 | dir=out | app=system |
"{2C81214D-4229-4521-8025-8D8AE84F2226}" = lport=554 | protocol=6 | dir=in | app=%systemroot%\ehome\ehshell.exe |
"{3768C9EF-CB6E-465E-8C30-04B5576C468C}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{39D2CF27-F29C-40F2-B20C-1215DE04BE09}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{3BA56FD2-98C1-4631-B508-56E3ABE3956F}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{5063FD09-A321-4F3A-974C-27874B3A3682}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{5074FBFF-132D-4B6E-8491-9C6B5B075BC3}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{55D3CFB3-9E6F-44D0-A545-A40AF0BDB52A}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{59B3FDFE-4E29-4BF1-A6DF-B1E52CBBF28B}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{60AB2863-2EFA-42FF-979C-75ACDA1F1C3C}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{7D22FAB3-09E5-4FDD-B457-A314DE2C9D32}" = lport=7777 | protocol=17 | dir=in | app=%systemroot%\ehome\ehshell.exe |
"{8BAB0C64-985A-4B73-806A-D9FB82302F4A}" = lport=3390 | protocol=6 | dir=in | app=system |
"{90C086E4-3034-414B-B427-805DCFF9B85D}" = rport=137 | protocol=17 | dir=out | app=system |
"{9AC9408D-8D7B-4AE6-96F4-95327919C7CA}" = rport=139 | protocol=6 | dir=out | app=system |
"{9ED63171-B763-43F5-8AB4-199B89B41EC8}" = lport=10243 | protocol=6 | dir=in | app=system |
"{A0B3AC13-436D-4669-BD31-5B93C842927B}" = lport=2869 | protocol=6 | dir=in | app=system |
"{A37BD592-7D1B-4544-BD82-248B2D069989}" = rport=10244 | protocol=6 | dir=out | app=system |
"{A60D7951-5787-4C0C-B531-842186CC5F10}" = lport=445 | protocol=6 | dir=in | app=system |
"{AA2BB8A5-09D9-4CFD-881B-A77166ED36F1}" = lport=10244 | protocol=6 | dir=in | app=system |
"{AD525BE0-7461-45EE-B325-F0003C1B0E31}" = lport=554 | protocol=6 | dir=in | app=%systemroot%\ehome\ehshell.exe |
"{BC02E5C4-870E-4096-ADFD-78CA1BA90F8E}" = lport=10244 | protocol=6 | dir=in | app=system |
"{CCC7FF1E-14F6-4FDB-85B9-D6738460EE40}" = rport=10244 | protocol=6 | dir=out | app=system |
"{CD8014A6-DE5F-45D7-BDE8-967AE99FB2F3}" = lport=138 | protocol=17 | dir=in | app=system |
"{D36ED039-A5DC-4BD9-8F9F-030B9BA69FCA}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{D56EAAC7-2B35-4687-AA0B-4BA0B7FDD7F1}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{D9CA9D00-A782-42E0-9D32-82EBD5C9563F}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{E2D2B7C3-8AFB-4ECA-A577-FE101DDE7331}" = lport=139 | protocol=6 | dir=in | app=system |
"{E35F6385-DA1D-402C-92B9-0F154AFE7C24}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{E3FF406C-2627-44A8-A6A8-9AEBA230F186}" = rport=138 | protocol=17 | dir=out | app=system |
"{E438ABCC-E3A9-428E-8260-9329A6BE59A2}" = lport=3390 | protocol=6 | dir=in | app=system |
"{E49795CF-B683-482A-9E82-6FC8128285A6}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{EA6490E5-043E-4DA9-8835-E474719C3732}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{ED385C7A-FFAB-4C89-B851-46812B5A9870}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) |
"{EDE1EE09-CC20-4DC1-AD7B-255A6964BF8C}" = lport=7777 | protocol=17 | dir=in | app=%systemroot%\ehome\ehshell.exe |
"{F9EB9460-0657-4C31-8434-E35B9C717DBE}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0076D052-85FA-46EF-9EE0-F8AD34F1CAAB}" = protocol=6 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"{043B44AD-14D7-455F-B69C-849011782BAF}" = protocol=6 | dir=out | app=%systemroot%\ehome\ehshell.exe |
"{053EC4B1-0DC4-4B84-B3A3-1CC5C5F440FD}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe |
"{09A6C228-AF0F-4A68-A400-0E6F5575D030}" = protocol=17 | dir=out | app=%systemroot%\ehome\ehshell.exe |
"{1C700E94-973A-4BC3-8C3C-D41F2E82B0FE}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{1D9B9748-4FC0-44AC-86EF-4FCB5A7800B0}" = protocol=6 | dir=out | svc=mcx2svc | app=%systemroot%\system32\svchost.exe |
"{1DA1C248-91A3-4A6D-AFB6-698EF4027004}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{1F7036E0-CAE5-4142-A1E8-8CBF9CCFDC84}" = dir=in | app=c:\program files\windows live\mesh\moe.exe |
"{2040333D-E4AA-4681-A83F-5326AB8A4AA5}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{2897A5FF-E75C-473B-B5B4-5BF75E860325}" = dir=in | app=c:\program files\windows live\contacts\wlcomm.exe |
"{35975A7C-6AD3-4F8F-921B-952435447C79}" = protocol=6 | dir=out | app=%systemroot%\ehome\mcx2prov.exe |
"{3DCC1800-F743-47E8-A0A3-3B4CF27BACFB}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{40224FC3-D361-4D83-A9C1-B6CFE6F514B9}" = protocol=17 | dir=out | app=%systemroot%\ehome\ehshell.exe |
"{60AE2EE9-779F-4775-851D-0BB09343E3F4}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{6FC012E5-FFAB-402E-A85D-84E294C3189D}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{910AA55F-1D9C-4AD0-AE22-E9F13549EA9A}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{95A3460C-26F5-49DC-B581-5F217C9EF9AD}" = dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"{96766337-D82B-4E52-972D-F6692B5D4B20}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{9D00158E-0DD0-4615-8D15-EE1C1661132F}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{9D65EF5B-6F33-4E35-89EE-DB637C53A358}" = protocol=6 | dir=out | app=%systemroot%\ehome\ehshell.exe |
"{A3D44081-B3DE-41C3-863C-5389D9BDDEA4}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{B30F9A96-01B3-4361-B41A-DDEAE9968B88}" = protocol=17 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"{B5B23A4C-6A85-4EC7-A56D-4A059CCEE89D}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{B79D0143-D26F-404C-9F73-BC989B3C4DE2}" = protocol=6 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"{C1807CA2-0DF9-47AB-ADD5-DA2E76A1466E}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{C6D438E6-E0B3-443A-9364-CEBAADE8BBB4}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{D29433E3-4ABD-4C52-B293-8C527F711114}" = protocol=6 | dir=out | svc=mcx2svc | app=%systemroot%\system32\svchost.exe |
"{D611E424-335F-4BE5-92CF-C32E409BB725}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{DB458AEE-FFCE-4CE5-AE45-704F01462B90}" = protocol=6 | dir=out | app=system |
"{EA8CC5E3-64C5-468C-A0CD-94A474653F21}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{EF46C681-405E-45E0-90AE-C9C4FBD4F223}" = protocol=6 | dir=out | app=%systemroot%\ehome\mcx2prov.exe |
"{FC46921D-C50A-4965-86F1-79F51763199F}" = protocol=17 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe |
"TCP Query User{1BF489B7-C176-4E60-AF44-9A0264043141}D:\spiele\starcraft\starcraft.exe" = protocol=6 | dir=in | app=d:\spiele\starcraft\starcraft.exe |
"TCP Query User{61104B7D-C5F9-447B-B988-CAC8CB944371}D:\spiele\anno1404\tools\addonweb.exe" = protocol=6 | dir=in | app=d:\spiele\anno1404\tools\addonweb.exe |
"TCP Query User{69952E04-181E-422B-87BD-9CC6EF9E07DC}C:\program files\java\jre6\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe |
"TCP Query User{77F546EA-371A-43A5-B799-CF89781847F9}C:\windows\system32\java.exe" = protocol=6 | dir=in | app=c:\windows\system32\java.exe |
"TCP Query User{A2C5C0BB-9667-4C3A-889B-6D2D3556D2FE}D:\spiele\anno1404\tools\addonweb.exe" = protocol=6 | dir=in | app=d:\spiele\anno1404\tools\addonweb.exe |
"TCP Query User{CB35DCAD-B117-4CFF-9ECA-27DA3CE5372F}D:\spiele\lotr\lotroclient.exe" = protocol=6 | dir=in | app=d:\spiele\lotr\lotroclient.exe |
"TCP Query User{D744B1C0-369E-4039-8135-1070F184B6DE}D:\spiele\anno1404\tools\anno4web.exe" = protocol=6 | dir=in | app=d:\spiele\anno1404\tools\anno4web.exe |
"UDP Query User{02715343-9C8B-41A6-B3F8-CCB49E02A2A4}C:\program files\java\jre6\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe |
"UDP Query User{5152CDE8-9280-4328-9A1E-D0D540DBE54E}D:\spiele\anno1404\tools\addonweb.exe" = protocol=17 | dir=in | app=d:\spiele\anno1404\tools\addonweb.exe |
"UDP Query User{54851862-9A2B-4FB1-B367-60D2437BC931}C:\windows\system32\java.exe" = protocol=17 | dir=in | app=c:\windows\system32\java.exe |
"UDP Query User{587869E9-B0AF-4C53-8C22-D8367A648BD4}D:\spiele\lotr\lotroclient.exe" = protocol=17 | dir=in | app=d:\spiele\lotr\lotroclient.exe |
"UDP Query User{EFD8DF6A-D351-4AB1-8FD0-B0E6DEF1BF51}D:\spiele\starcraft\starcraft.exe" = protocol=17 | dir=in | app=d:\spiele\starcraft\starcraft.exe |
"UDP Query User{F6B50CA2-0E17-4E3B-9A98-E8111F52EB9A}D:\spiele\anno1404\tools\addonweb.exe" = protocol=17 | dir=in | app=d:\spiele\anno1404\tools\addonweb.exe |
"UDP Query User{FCB6CA5C-A3A0-4C91-99F9-471045F62556}D:\spiele\anno1404\tools\anno4web.exe" = protocol=17 | dir=in | app=d:\spiele\anno1404\tools\anno4web.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02602409-9189-4567-BC07-562605243B69}" = Windows Live Remote Client Resources
"{0481A2EA-DA1D-4D10-A7C3-F8237948F6B5}" = Messenger Companion
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{19A4A990-5343-4FF7-B3B5-6F046C091EDF}" = Windows Live Remote Client
"{1A2000AF-79DE-47FB-8411-BA22F981917F}" = Tropico 2: Die Pirateninsel
"{1BA1DBDC-5431-46FD-A66F-A17EB1C439EE}" = Windows Live Messenger
"{1DDB95A4-FD7B-4517-B3F1-2BCAA96879E6}" = Windows Live Writer Resources
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F2A5DF9-40E1-4644-ADBD-D80F347BA6C8}" = Windows Mobile-Gerätecenter
"{1F6AB0E7-8CDD-4B93-8A23-AA9EB2FEFCE4}" = Junk Mail filter update
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{227E8782-B2F4-4E97-B0EE-49DE9CC1C0C0}" = Windows Live Remote Service
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java(TM) 6 Update 29
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{3A65A74A-5B6E-451A-92D8-50F1182BBE9A}" = Windows Live Remote Service Resources
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5482DCBE-D2D1-47B0-A621-DF8E2B0D174C}" = Windows Live Family Safety
"{5A347920-4AFC-11D5-9FB0-800649886934}" = SDFormatter
"{5DD4FCBD-A3C1-4155-9E17-4161C70AAABA}" = Segoe UI
"{65B43D6A-6B8F-46F1-8362-7985822F3A80}_is1" = D2SE V2.2.0
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71D74FCD-8DB9-4BEB-9C9D-1D19F2E02AE3}" = Microsoft Report Viewer Redistributable 2005
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7635D07D-B727-496F-94CA-8AC60E0C40CE}" = Microsoft Report Viewer Redistributable 2005
"{78A96B4C-A643-4D0F-98C2-A8E16A6669F9}" = Windows Live Messenger Companion Core
"{7E350663-86D3-466A-AB79-28156A9ABF6E}_is1" = Hamster Free VideoConvertor
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{859D4022-B76D-40DE-96EF-C90CDA263F44}" = Windows Live Writer
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C6D6116-B724-4810-8F2D-D047E6B7D68E}" = Mesh Runtime
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{91B7CEB3-4331-427B-AA7A-2898BE8F9DC6}" = Samsung PC Studio 3
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D56775A-93F3-44A3-8092-840E3826DE30}" = Windows Live Mail
"{A07B2C21-863B-47AB-AE7E-20BB00BD7D33}" = ANNO 1404 - Venedig
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A726AE06-AAA3-43D1-87E3-70F510314F04}" = Windows Live Writer
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}" = Windows Live Writer
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{ACFBE99B-6981-4513-B17E-A2683CEB9EE5}" = Windows Live Mesh
"{AF844339-2F8A-4593-81B3-9F4C54038C4E}" = Windows Live MIME IFilter
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B1239994-A850-44E2-BED8-E70A21124E16}" = Windows Live Mail
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.4.28
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver" = NVIDIA HD-Audiotreiber 1.2.23.3
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{BCF16F16-AC0E-4ABE-A9EF-412CF484BA51}" = Windows Live Family Safety
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio 3
"{C5398A89-516C-4DAF-BA07-EE7949090E56}" = Windows Live Mesh ActiveX control for remote connections
"{C6150D8A-86ED-41D3-87BB-F3BB51B0B77F}" = Windows Live ID Sign-in Assistant
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CB8CA439-DA83-419C-A4CF-5A0A50025144}" = Windows Mobile-Gerätecenter: Treiberupdate
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{DECDCB7C-58CC-4865-91AF-627F9798FE48}" = Windows Live Mesh
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{E5B21F11-6933-4E0B-A25C-7963E3C07D11}" = Windows Live Messenger
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"1489-3350-5074-6281" = JDownloader 0.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Assistant" = Assistant 5.05.013
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Car Diagnostic Center 2009 Free Edition_is1" = Car Diagnostic Center 2009 Free Edition
"DAEMON Tools Lite" = DAEMON Tools Lite
"Diablo II" = Diablo II
"DivX Setup" = DivX-Setup
"Dungeon Keeper II" = Dungeon Keeper 2
"Eusing Free Registry Cleaner" = Eusing Free Registry Cleaner
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.12.1117
"LucasArts' Monkey4" = LucasArts' Monkey4
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft Report Viewer Redistributable 2005" = Microsoft Report Viewer Redistributable 2005
"moDiag_is1" = moDiag professional 2.0.0
"Mozilla Firefox 8.0 (x86 de)" = Mozilla Firefox 8.0 (x86 de)
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"ScummVM_is1" = ScummVM Git
"Starcraft" = Starcraft
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Tales of Monkey Island" = Tales of Monkey Island
"TomTom HOME" = TomTom HOME 2.8.2.2264
"Tropico3" = Tropico 3 1.00
"VLC media player" = VLC media player 1.1.11
"WinLiveSuite" = Windows Live Essentials
"WinRAR archiver" = WinRAR 4.00 (32-Bit)
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dr_Brain_GJ_Vol2" = Dr_Brain_GJ_Vol2
========== Last 10 Event Log Errors ==========
Error reading Event Logs: The Event Service is not operating properly or the Event Logs are corrupt!
< End of report >
|
|
21.12.2011, 07:41
| #6 |
| | 470a1245.exe Merkwürdige Verknüpfungen! LogFile GMER GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-12-21 07:03:37
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 SAMSUNG_ rev.2SS0
Running: grusglww.exe; Driver: C:\Users\Mark\AppData\Local\Temp\uflyykow.sys
---- System - GMER 1.0.15 ----
SSDT 8DABB256 ZwCreateSection
SSDT 8DABB25B ZwSetContextThread
SSDT 8DABB1F7 ZwTerminateProcess
INT 0x51 ? 86D56F00
INT 0x51 ? 86D56F00
INT 0x72 ? 86D56F00
INT 0x82 ? 86D56F00
INT 0x92 ? 84A62CC8
INT 0x92 ? 86D56F00
INT 0x92 ? 86D56F00
INT 0x92 ? 86D56F00
INT 0x92 ? 84A62CC8
INT 0xA2 ? 86D56F00
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!KeInsertQueue + 405 8207B9FC 4 Bytes [56, B2, AB, 8D]
.text ntoskrnl.exe!KeInsertQueue + 75D 8207BD54 4 Bytes [5B, B2, AB, 8D]
.text ntoskrnl.exe!KeInsertQueue + 811 8207BE08 4 Bytes [F7, B1, AB, 8D]
? System32\drivers\rlpgq.sys Das System kann den angegebenen Pfad nicht finden. !
.text sptd.sys 8A64C000 32 Bytes [06, 61, 3C, 82, 60, CF, 3B, ...]
.text sptd.sys 8A64C024 4 Bytes [D2, B3, 77, 8A]
.text sptd.sys 8A64C02C 37 Bytes [12, 03, 21, 82, E2, 4B, 1B, ...]
.text sptd.sys 8A64C052 10 Bytes [02, 82, 4D, 69, 24, 82, FF, ...]
.text sptd.sys 8A64C05D 359 Bytes [39, 05, 82, B4, 5E, 03, 82, ...]
.text ...
.sptd2 C:\Windows\System32\Drivers\sptd.sys entry point in ".sptd2" section [0x8A743D38]
? C:\Windows\System32\Drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload 8FEE041B 5 Bytes JMP 86D56410
.text a0rk8tq3.SYS 901F5000 56 Bytes [82, 03, 3C, 82, 6C, 02, 3C, ...]
.text a0rk8tq3.SYS 901F5039 151 Bytes [95, 06, 82, 79, 01, 02, 82, ...]
.text a0rk8tq3.SYS 901F50D1 279 Bytes [00, 00, 00, A0, 8C, 41, 4C, ...]
.text a0rk8tq3.SYS 901F51E9 133 Bytes [F8, 5C, 3A, 5E, 7C, 5F, BE, ...]
.text a0rk8tq3.SYS 901F526F 56 Bytes [3E, 91, 80, 90, 42, 92, 04, ...]
.text ...
.text C:\Windows\system32\DRIVERS\atksgt.sys section is writeable [0x8AF59300, 0x3B6D8, 0xE8000020]
.text C:\Windows\system32\DRIVERS\lirsgt.sys section is writeable [0x92FF9300, 0x1BEE, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Windows\ehome\ehtray.exe[2204] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 00B95300
.text C:\Windows\ehome\ehtray.exe[2204] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 00B96390
.text C:\Windows\ehome\ehtray.exe[2204] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 00B96640
.text C:\Windows\ehome\ehtray.exe[2204] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 00B953D0
.text C:\Windows\ehome\ehtray.exe[2204] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 00B92570
.text C:\Windows\ehome\ehtray.exe[2204] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 00B910A0
.text C:\Windows\ehome\ehtray.exe[2204] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 00B91290
.text C:\Windows\ehome\ehtray.exe[2204] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 00B911C0
.text C:\Windows\ehome\ehtray.exe[2204] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 00B91000
.text C:\Windows\ehome\ehtray.exe[2204] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 00B92510
.text C:\Windows\ehome\ehtray.exe[2204] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 00B91D10
.text C:\Windows\ehome\ehtray.exe[2204] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 00B92160
.text C:\Windows\ehome\ehtray.exe[2204] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 00B923A0
.text C:\Windows\ehome\ehtray.exe[2204] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 00B920A0
.text C:\Windows\system32\Dwm.exe[2944] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 00265300
.text C:\Windows\system32\Dwm.exe[2944] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 00266390
.text C:\Windows\system32\Dwm.exe[2944] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 00266640
.text C:\Windows\system32\Dwm.exe[2944] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 002653D0
.text C:\Windows\system32\Dwm.exe[2944] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 00262570
.text C:\Windows\system32\Dwm.exe[2944] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 002610A0
.text C:\Windows\system32\Dwm.exe[2944] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 00261290
.text C:\Windows\system32\Dwm.exe[2944] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 002611C0
.text C:\Windows\system32\Dwm.exe[2944] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 00261000
.text C:\Windows\system32\Dwm.exe[2944] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 00262510
.text C:\Windows\system32\Dwm.exe[2944] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 00261D10
.text C:\Windows\system32\Dwm.exe[2944] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 00262160
.text C:\Windows\system32\Dwm.exe[2944] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 002623A0
.text C:\Windows\system32\Dwm.exe[2944] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 002620A0
.text C:\Windows\Explorer.EXE[2972] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 05FB5300
.text C:\Windows\Explorer.EXE[2972] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 05FB6390
.text C:\Windows\Explorer.EXE[2972] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 05FB6640
.text C:\Windows\Explorer.EXE[2972] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 05FB53D0
.text C:\Windows\Explorer.EXE[2972] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 05FB2570
.text C:\Windows\Explorer.EXE[2972] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 05FB10A0
.text C:\Windows\Explorer.EXE[2972] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 05FB1290
.text C:\Windows\Explorer.EXE[2972] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 05FB11C0
.text C:\Windows\Explorer.EXE[2972] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 05FB1000
.text C:\Windows\Explorer.EXE[2972] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 05FB2510
.text C:\Windows\Explorer.EXE[2972] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 05FB2160
.text C:\Windows\Explorer.EXE[2972] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 05FB23A0
.text C:\Windows\Explorer.EXE[2972] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 05FB20A0
.text C:\Windows\Explorer.EXE[2972] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 05FB1D10
.text C:\Windows\ehome\ehmsas.exe[3100] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 007E5300
.text C:\Windows\ehome\ehmsas.exe[3100] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 007E6390
.text C:\Windows\ehome\ehmsas.exe[3100] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 007E6640
.text C:\Windows\ehome\ehmsas.exe[3100] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 007E53D0
.text C:\Windows\ehome\ehmsas.exe[3100] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 007E2570
.text C:\Windows\ehome\ehmsas.exe[3100] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 007E10A0
.text C:\Windows\ehome\ehmsas.exe[3100] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 007E1290
.text C:\Windows\ehome\ehmsas.exe[3100] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 007E11C0
.text C:\Windows\ehome\ehmsas.exe[3100] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 007E1000
.text C:\Windows\ehome\ehmsas.exe[3100] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 007E2510
.text C:\Windows\ehome\ehmsas.exe[3100] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 007E1D10
.text C:\Windows\ehome\ehmsas.exe[3100] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 007E2160
.text C:\Windows\ehome\ehmsas.exe[3100] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 007E23A0
.text C:\Windows\ehome\ehmsas.exe[3100] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 007E20A0
.text C:\Windows\system32\taskeng.exe[3168] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 01A75300
.text C:\Windows\system32\taskeng.exe[3168] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 01A76390
.text C:\Windows\system32\taskeng.exe[3168] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 01A76640
.text C:\Windows\system32\taskeng.exe[3168] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 01A753D0
.text C:\Windows\system32\taskeng.exe[3168] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 01A72570
.text C:\Windows\system32\taskeng.exe[3168] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 01A710A0
.text C:\Windows\system32\taskeng.exe[3168] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 01A71290
.text C:\Windows\system32\taskeng.exe[3168] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 01A711C0
.text C:\Windows\system32\taskeng.exe[3168] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 01A71000
.text C:\Windows\system32\taskeng.exe[3168] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 01A72510
.text C:\Windows\system32\taskeng.exe[3168] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 01A71D10
.text C:\Windows\system32\taskeng.exe[3168] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 01A72160
.text C:\Windows\system32\taskeng.exe[3168] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 01A723A0
.text C:\Windows\system32\taskeng.exe[3168] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 01A720A0
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 04775300
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 04776390
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 04776640
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 047753D0
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 04772570
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 047710A0
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 04771290
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 047711C0
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 04771000
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 04772510
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 04772160
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 047723A0
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 047720A0
.text C:\Program Files\Windows Defender\MSASCui.exe[3772] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 04771D10
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 014C5300
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 014C6390
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 014C6640
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 014C53D0
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 014C2570
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 014C10A0
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 014C1290
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 014C11C0
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 014C1000
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 014C2510
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 014C1D10
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 014C2160
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 014C23A0
.text C:\Program Files\Windows Media Player\wmpnscfg.exe[3956] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 014C20A0
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 019E5300
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 019E6390
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 019E6640
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 019E53D0
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 019E2570
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 019E10A0
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 019E1290
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 019E11C0
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 019E1000
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 019E2510
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 019E1D10
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 019E2160
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 019E23A0
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[4020] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 019E20A0
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 02765300
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 02766390
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 02766640
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 027653D0
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 02762570
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 027610A0
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 02761290
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 027611C0
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 02761000
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 02762510
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 02761D10
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 02762160
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 027623A0
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[4040] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 027620A0
.text C:\Windows\WindowsMobile\wmdc.exe[4056] ntdll.dll!LdrLoadDll 774993A8 5 Bytes JMP 00E95300
.text C:\Windows\WindowsMobile\wmdc.exe[4056] ntdll.dll!NtEnumerateValueKey 774D46E4 5 Bytes JMP 00E96390
.text C:\Windows\WindowsMobile\wmdc.exe[4056] ntdll.dll!NtQueryDirectoryFile 774D4C04 5 Bytes JMP 00E96640
.text C:\Windows\WindowsMobile\wmdc.exe[4056] ntdll.dll!NtResumeThread 774D5004 5 Bytes JMP 00E953D0
.text C:\Windows\WindowsMobile\wmdc.exe[4056] kernel32.dll!MoveFileW 76DFA2F2 5 Bytes JMP 00E92570
.text C:\Windows\WindowsMobile\wmdc.exe[4056] kernel32.dll!CopyFileW 76E002A9 5 Bytes JMP 00E910A0
.text C:\Windows\WindowsMobile\wmdc.exe[4056] kernel32.dll!CreateFileW 76E3B0EB 5 Bytes JMP 00E91290
.text C:\Windows\WindowsMobile\wmdc.exe[4056] kernel32.dll!CreateFileA 76E3D07F 5 Bytes JMP 00E911C0
.text C:\Windows\WindowsMobile\wmdc.exe[4056] kernel32.dll!CopyFileA 76E42653 5 Bytes JMP 00E91000
.text C:\Windows\WindowsMobile\wmdc.exe[4056] kernel32.dll!MoveFileA 76E7F7A1 5 Bytes JMP 00E92510
.text C:\Windows\WindowsMobile\wmdc.exe[4056] WININET.dll!HttpSendRequestW 76886209 5 Bytes JMP 00E92160
.text C:\Windows\WindowsMobile\wmdc.exe[4056] WININET.dll!InternetWriteFile 7689B246 5 Bytes JMP 00E923A0
.text C:\Windows\WindowsMobile\wmdc.exe[4056] WININET.dll!HttpSendRequestA 768B5860 5 Bytes JMP 00E920A0
.text C:\Windows\WindowsMobile\wmdc.exe[4056] WS2_32.dll!GetAddrInfoW 76973D12 5 Bytes JMP 00E91D10
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 84A5C308
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8A64DFE0] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUlong] [8A64D574] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8A64D0C0] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8A64E1BC] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8A64D2A4] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8A64D362] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\ataport.SYS[ntoskrnl.exe!DbgBreakPoint] 84A5D308
IAT \SystemRoot\system32\drivers\PCIIDEX.SYS[ntoskrnl.exe!DbgBreakPoint] 84A65308
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 86D56540
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8A662312] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoWMIRegistrationControl] B60FC203
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IofCallDriver] E0C11856
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IofCompleteRequest] 0FC10308
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!ZwClose] 83174EB6
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!RtlQueryRegistryValues] E1C108C4
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 51CA0308
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!PoCallDriver] E8575650
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!PoStartNextPowerIrp] FFFFFCD8
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoStartNextPacket] C25D5E5F
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoCreateDevice] 458B000C
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoDetachDevice] 6A006A08
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoFreeWorkItem] 50056A24
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoDeleteDevice] 001DF3E8
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoReleaseRemoveLockAndWaitEx] 0001B800
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoAcquireRemoveLockEx] 5D5E0000
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!ObfReferenceObject] CC000CC2
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoSetDeviceInterfaceState] CCCCCCCC
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoRegisterDeviceInterface] CCCCCCCC
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] 56EC8B55
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] 800C758B
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 7500117E
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!NlsMbCodePageTag] 1A7E8073
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!RtlInitAnsiString] 806D7500
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KeSetEvent] 75001B7E
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoFreeIrp] 7D8B5767
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoCancelIrp] 24478B08
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KeWaitForSingleObject] 50204F8B
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoAllocateIrp] ADF6E851
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KeInitializeEvent] 558BFFFF
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!RtlCompareMemory] 0002C610
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!RtlGetVersion] 1246B60F
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoInitializeTimer] 134EB60F
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoInitializeRemoveLockEx] 1456B60F
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] 0308E0C1
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoSetStartIoAttributes] 4EB60FC1
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoStartPacket] 08E0C115
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!PoRequestPowerIrp] B60FC203
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoStopTimer] E0C11756
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoStartTimer] 0FC10308
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoAllocateWorkItem] C1164EB6
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KeRemoveEntryDeviceQueue] CA0308E1
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoReleaseCancelSpinLock] 1856B60F
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoQueueWorkItem] 0308E1C1
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoFreeMdl] 56B60FCA
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 08C48319
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoAllocateMdl] 0308E1C1
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 565051CA
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoGetSfioStreamIdentifier] FC36E857
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!memmove] 5E5FFFFF
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoReleaseRemoveLockEx] 000CC25D
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KeDelayExecutionThread] 6A08458B
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 6A246A00
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 51E85005
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoBuildPartialMdl] B800001D
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoAcquireCancelSpinLock] 00000001
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 0CC25D5E
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoGetDeviceInterfaces] CCCCCC00
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KeTickCount] CCCCCCCC
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KeBugCheckEx] 53EC8B55
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!RtlInitUnicodeString] 56085D8B
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!MmGetSystemRoutineAddress] 800C758B
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!memset] 5700117E
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!memcpy] 7E807F75
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 79750012
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoWMIWriteEvent] 00197E80
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!ExFreePoolWithTag] 438B7375
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!_vsnwprintf] 204B8B24
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoSetCompletionRoutineEx] 55E85150
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!_vsnprintf] 8BFFFFAD
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!MmUnlockPages] 02C61055
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!KeGetCurrentThread] 13468A00
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!MmProbeAndLockPages] C483FFB1
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoFreeSfioStreamIdentifier] 75C13A08
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoAllocateSfioStreamIdentifier] 144E3818
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!IoGetIoPriorityHint] 4E381375
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[ntoskrnl.exe!RtlUnwind] 530E7515
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[HAL.dll!KeGetCurrentIrql] 50204F8B
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[HAL.dll!KeAcquireInStackQueuedSpinLock] AE86E851
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[HAL.dll!KeReleaseInStackQueuedSpinLock] 558BFFFF
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[HAL.dll!KfLowerIrql] 0002C610
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[HAL.dll!KfAcquireSpinLock] 1246B60F
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[HAL.dll!KfReleaseSpinLock] 134EB60F
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[HAL.dll!KfRaiseIrql] 1456B60F
IAT \SystemRoot\System32\Drivers\a0rk8tq3.SYS[USBD.SYS!USBD_CreateConfigurationRequestEx] 4EB60FC1
IAT \SystemRoot\system32\DRIVERS\storport.sys[ntoskrnl.exe!DbgBreakPoint] 86C72308
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 84A661F8
Device \FileSystem\fastfat \FatCdrom 86D3D1F8
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
Device \Driver\usbuhci \Device\USBPDO-0 86D781F8
Device \Driver\usbuhci \Device\USBPDO-1 86D781F8
Device \Driver\PCI_PNP2737 \Device\00000052 sptd.sys
Device \Driver\usbuhci \Device\USBPDO-2 86D781F8
Device \Driver\usbehci \Device\USBPDO-3 86D7A1F8
Device \Driver\usbuhci \Device\USBPDO-4 86D781F8
Device \Driver\usbuhci \Device\USBPDO-5 86D781F8
Device \Driver\usbuhci \Device\USBPDO-6 86D781F8
Device \Driver\usbehci \Device\USBPDO-7 86D7A1F8
Device \Driver\cdrom \Device\CdRom0 86D3A1F8
Device \Driver\cdrom \Device\CdRom1 86D3A1F8
Device \Driver\cdrom \Device\CdRom2 86D3A1F8
Device \Driver\netbt \Device\NetBT_Tcpip_{F4FABD92-2368-45F2-BE76-68AB743BC4CB} 878391F8
Device \Driver\netbt \Device\NetBt_Wins_Export 878391F8
Device \Driver\Smb \Device\NetbiosSmb 877721F8
Device \Driver\netbt \Device\NetBT_Tcpip_{9C558510-1552-4ECC-848F-1753DB3AF00D} 878391F8
Device \Driver\iScsiPrt \Device\RaidPort0 86C861F8
Device \Driver\usbuhci \Device\USBFDO-0 86D781F8
Device \Driver\usbuhci \Device\USBFDO-1 86D781F8
Device \Driver\usbuhci \Device\USBFDO-2 86D781F8
Device \Driver\USBSTOR \Device\0000007c 878291F8
Device \Driver\usbehci \Device\USBFDO-3 86D7A1F8
Device \Driver\USBSTOR \Device\0000007d 878291F8
Device \Driver\usbuhci \Device\USBFDO-4 86D781F8
Device \Driver\usbuhci \Device\USBFDO-5 86D781F8
Device \Driver\usbuhci \Device\USBFDO-6 86D781F8
Device \Driver\usbehci \Device\USBFDO-7 86D7A1F8
Device \Driver\a0rk8tq3 \Device\Scsi\a0rk8tq31Port2Path0Target0Lun0 86D071F8
Device \Driver\a0rk8tq3 \Device\Scsi\a0rk8tq31 86D071F8
Device \FileSystem\fastfat \Fat 86D3D1F8
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
Device \FileSystem\cdfs \Cdfs 86CFB1F8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x84 0x82 0x6C 0x1A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0xA0 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x50 0x7A 0x2B 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x84 0x1A 0x71 0x80 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x84 0x82 0x6C 0x1A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0xA0 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x50 0x7A 0x2B 0x20 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x84 0x1A 0x71 0x80 ...
---- EOF - GMER 1.0.15 ----
|
|
21.12.2011, 07:43
| #7 |
| | 470a1245.exe Merkwürdige Verknüpfungen! Logfile MalewareBytes Malwarebytes' Anti-Malware 1.51.2.1300 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 8405 Windows 6.0.6002 Service Pack 2 Internet Explorer 9.0.8112.16421 20.12.2011 23:01:49 mbam-log-2011-12-20 (23-01-49).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 321421 Laufzeit: 1 Stunde(n), 36 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsDefender (Trojan.LVBP) -> Value: WindowsDefender -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Users\Mark\AppData\Roaming\windefender (Trojan.LVBP) -> Quarantined and deleted successfully. c:\program files\cryptload\router\fritz!box\nc.exe (PUP.Netcat) -> Quarantined and deleted successfully. c:\Users\Mark\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\NETJLUXH\testbundle23w_1254[1].exe (Adware.Agent) -> Quarantined and deleted successfully. c:\Users\Mark\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\UOZNTI97\crypted[1].exe (Trojan.LVBP) -> Quarantined and deleted successfully. |
|
21.12.2011, 07:46
| #8 |
| | 470a1245.exe Merkwürdige Verknüpfungen! Achso TDSS-Killer hab ich noch drüber Laufen lassen da finde ich aber kein LogFile! |
|
| Themen zu 470a1245.exe Merkwürdige Verknüpfungen! |
| 32 bit, antivirus, betriebssystem, brauche, bräuchte, cmd.exe, diverse, ebenfalls, explorer, externe festplatte, festplatte, firefox, gen, i-net, ie explorer, merkwürdig, ordner, plötzlich, problem, seite, surfen, verbindung, virustotal.com, vista, vista 32 bit, winxp, öffnen |
Linear-Darstellung
