| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.06.2012, 18:11
| #1 |
 |  Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ Hallo Forum Mein Antivir entdeckt so ca am 5. oder 6. Juni beim Scan den Trojaner im verzeichniss C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@. Heute entdeckte Antivir im gleichen Verzeichniss den Tr.ATRAPS.Gen2 und TR/Sirefef.AG.35 Anti Maleware entdeckte: Trojan.Sirefef und den Rootkit.0Access im Verzeichniss C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@' Begonnen hat das ganze nachdem ich auf Chip.de war und dort zwei seiten sein popup aufging mit der Meldung das mein Onlinevirenschutz unzureichend währe und ein "Onlinescan Norton" dies festgestellt hätte. Bevor ich etwas weiteres klickte schaute ich im Antivir nach und dort war der Onlineschutz als unzureichend eingestuft. Gutgläubig stimmte ich eine Onlinescan zu, brach dies jedoch sofort wieder ab da sofort nach dem Klick das Firmenlogo blass bis milchig dargestellt wurde. Mittlerweile habe ich etliche Antivir Scans auch im abgesicherten Modus durchgeführt was nur erfolg hat solang ich nicht online gehe. Ich habe erfolglos den Regcleaner probiert und diesen wieder deinstalliert. Nun hab ich eine aktuelle Antivir Version mit Virendefinition vom 13.06.2012 installiert und Löschen- und Karantäneversuche war auch wieder erfolglos. file zutage. Anti Malware Logfile : Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.13.05 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 My :: MY-PC [Administrator] 14.06.2012 14:44:11 mbam-log-2012-06-14 (14-44-11).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 361805 Laufzeit: 1 Stunde(n), 37 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Antivir Logfile: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 14. Juni 2012 19:04
Es wird nach 3831985 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYStEMM
Computername : MY-PC
Versionsinformationen:
BUILD.DAT : 10.2.0.703 35935 Bytes 29.08.2011 16:10:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21.07.2011 10:08:11
AVSCAN.DLL : 10.0.5.0 57192 Bytes 21.07.2011 10:10:57
LUKE.DLL : 10.3.0.5 45416 Bytes 21.07.2011 10:09:32
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 12:22:40
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21.07.2011 10:08:11
AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 10:08:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 05:52:59
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 15:17:06
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 15:17:44
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 15:18:20
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 15:18:38
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 15:18:38
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 15:18:38
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 15:18:38
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 15:18:38
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 15:18:38
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 15:18:38
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 15:18:38
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 15:18:38
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 15:18:40
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 15:18:41
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 15:18:43
VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 15:18:46
VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 15:18:47
VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 15:18:49
VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 15:18:50
VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 15:18:51
VBASE022.VDF : 7.11.32.9 169472 Bytes 05.06.2012 15:18:53
VBASE023.VDF : 7.11.32.85 155648 Bytes 08.06.2012 15:18:54
VBASE024.VDF : 7.11.32.133 127488 Bytes 11.06.2012 15:18:55
VBASE025.VDF : 7.11.32.171 182784 Bytes 12.06.2012 15:18:57
VBASE026.VDF : 7.11.32.172 2048 Bytes 12.06.2012 15:18:57
VBASE027.VDF : 7.11.32.173 2048 Bytes 12.06.2012 15:18:57
VBASE028.VDF : 7.11.32.174 2048 Bytes 12.06.2012 15:18:57
VBASE029.VDF : 7.11.32.175 2048 Bytes 12.06.2012 15:18:57
VBASE030.VDF : 7.11.32.176 2048 Bytes 12.06.2012 15:18:57
VBASE031.VDF : 7.11.32.194 28672 Bytes 13.06.2012 15:18:58
Engineversion : 8.2.10.80
AEVDF.DLL : 8.1.2.8 106867 Bytes 13.06.2012 15:19:32
AESCRIPT.DLL : 8.1.4.24 450939 Bytes 13.06.2012 15:19:31
AESCN.DLL : 8.1.8.2 131444 Bytes 13.06.2012 15:19:29
AESBX.DLL : 8.2.5.10 606580 Bytes 13.06.2012 15:19:36
AERDL.DLL : 8.1.9.15 639348 Bytes 13.06.2012 15:19:29
AEPACK.DLL : 8.2.16.16 807288 Bytes 13.06.2012 15:19:25
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 13.06.2012 15:19:21
AEHEUR.DLL : 8.1.4.36 4874615 Bytes 13.06.2012 15:19:20
AEHELP.DLL : 8.1.21.0 254326 Bytes 13.06.2012 15:19:03
AEGEN.DLL : 8.1.5.28 422260 Bytes 13.06.2012 15:19:02
AEEXP.DLL : 8.1.0.44 82293 Bytes 13.06.2012 15:19:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 05:52:17
AECORE.DLL : 8.1.25.10 201080 Bytes 13.06.2012 15:19:00
AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 05:52:16
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 05:52:39
AVPREF.DLL : 10.0.3.2 44904 Bytes 21.07.2011 10:08:05
AVREP.DLL : 10.0.0.10 174120 Bytes 21.07.2011 10:08:06
AVARKT.DLL : 10.0.26.1 255336 Bytes 21.07.2011 10:07:41
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21.07.2011 10:07:59
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 13:12:30
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 05:52:38
NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 05:52:50
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21.07.2011 10:11:03
RCTEXT.DLL : 10.0.64.0 98664 Bytes 21.07.2011 10:11:03
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ffb0758\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Donnerstag, 14. Juni 2012 19:04
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileConnect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WCScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'APLanMgrC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSCKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvXDSync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\800000cb.@'
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '556ab48c.qua' verschoben!
Beginne mit der Suche in 'C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@'
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/Sirefef.AG.35
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dfd9b2b.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 14. Juni 2012 19:04
Benötigte Zeit: 00:02 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
62 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
60 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise
Defrogger: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:16 on 14/06/2012 (Myri)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter TL logfile created on: 6/14/2012 7:24:55 PM - Run 1 OTL by OldTimer - Version 3.2.48.0 Folder = C:\Users\Myri\Desktop Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2.97 Gb Total Physical Memory | 1.91 Gb Available Physical Memory | 64.46% Memory free 5.93 Gb Paging File | 4.85 Gb Available in Paging File | 81.82% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files Drive C: | 141.49 Gb Total Space | 67.76 Gb Free Space | 47.89% Space Free | Partition Type: NTFS Drive D: | 141.50 Gb Total Space | 24.73 Gb Free Space | 17.48% Space Free | Partition Type: NTFS Computer Name: MYRI-PC | User Name: Myri | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012/06/14 19:23:38 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Myri\Desktop\OTL.exe PRC - [2012/03/19 13:38:46 | 002,666,880 | ---- | M] (TeamViewer GmbH) -- C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe PRC - [2012/01/03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2011/07/21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe PRC - [2011/06/24 06:22:20 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe PRC - [2011/04/21 07:53:10 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe PRC - [2011/04/21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe PRC - [2011/04/21 07:52:36 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe PRC - [2011/02/25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2010/11/20 14:17:47 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe PRC - [2010/10/16 13:42:38 | 000,792,680 | ---- | M] (NVIDIA Corporation) -- C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe PRC - [2010/01/19 11:34:48 | 002,201,192 | ---- | M] (SEC) -- C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe PRC - [2009/11/04 06:11:48 | 000,835,072 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe PRC - [2009/10/26 13:53:14 | 000,091,136 | ---- | M] (SAMSUNG Electronics) -- C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe PRC - [2009/10/20 11:13:00 | 000,079,360 | ---- | M] (DoctorSoft) -- C:\Program Files\AnyPC Client\APLanMgrC.exe PRC - [2009/10/13 12:03:04 | 000,716,800 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe PRC - [2009/04/20 18:20:40 | 002,327,552 | ---- | M] (Vodafone) -- C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe PRC - [2009/04/20 18:20:30 | 000,009,216 | ---- | M] (Vodafone) -- C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe ========== Modules (No Company Name) ========== MOD - [2012/06/13 17:13:13 | 000,212,992 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\69ca4a43ba14b66689715ad62aed70e6\System.ServiceProcess.ni.dll MOD - [2012/06/13 17:12:32 | 012,436,480 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\7b7fbe651c6e72f12099a298654c9594\System.Windows.Forms.ni.dll MOD - [2012/06/13 17:12:22 | 001,591,808 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\6bb439b3f87736d3248ae27d43e2c0d6\System.Drawing.ni.dll MOD - [2012/05/10 07:26:48 | 001,051,136 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Management\9b2f17fb61b7197f2a04108f5d1a1cc6\System.Management.ni.dll MOD - [2012/05/10 07:13:20 | 000,771,584 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\03dee80574f4ec770b6f77ca030ded6c\System.Runtime.Remoting.ni.dll MOD - [2012/05/10 07:13:16 | 000,627,200 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Transactions\80fae9f16f80075535e72458ef293f7a\System.Transactions.ni.dll MOD - [2012/05/10 07:13:15 | 006,611,456 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Data\f3814b488d9e083cbbc623e01b389f09\System.Data.ni.dll MOD - [2012/05/10 07:11:18 | 000,680,448 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Security\054fcff18035c210487b0888e6461192\System.Security.ni.dll MOD - [2012/05/10 07:11:09 | 005,452,800 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Xml\ba3d70b651454c7d49b407b93663bfed\System.Xml.ni.dll MOD - [2012/05/10 07:10:57 | 000,971,264 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\cfa9c506bfb9254c89dace7b83bc9f9d\System.Configuration.ni.dll MOD - [2012/05/10 07:10:52 | 007,967,232 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System\ce9ff6baf9053ed2ed673d948179195c\System.ni.dll MOD - [2012/05/10 07:10:17 | 011,492,864 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\mscorlib\acfc1391e45fedd2a359778ea57d914c\mscorlib.ni.dll MOD - [2010/11/13 02:02:22 | 000,434,176 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Windows.Forms.resources\2.0.0.0_de_b77a5c561934e089\System.Windows.Forms.resources.dll MOD - [2010/11/13 02:02:21 | 000,315,392 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll MOD - [2010/11/05 03:58:05 | 002,927,616 | ---- | M] () -- C:\windows\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll MOD - [2009/07/14 03:15:45 | 000,364,544 | ---- | M] () -- C:\Windows\System32\msjetoledb40.dll MOD - [2009/06/10 23:23:19 | 000,261,632 | ---- | M] () -- C:\windows\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll MOD - [2006/08/12 05:48:40 | 000,049,152 | ---- | M] () -- C:\Program Files\Samsung\Easy Display Manager\HookDllPS2.dll ========== Win32 Services (SafeList) ========== SRV - [2012/05/05 18:44:04 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012/04/05 11:37:38 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012/03/19 13:38:46 | 002,666,880 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7) SRV - [2012/01/03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2011/07/21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011/04/21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011/03/18 19:06:54 | 000,204,883 | ---- | M] () [Auto | Stopped] -- C:\Program Files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe -- (ICM_UpdaterService) SRV - [2009/07/14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc) SRV - [2009/04/20 18:20:30 | 000,009,216 | ---- | M] (Vodafone) [Auto | Running] -- C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe -- (VMCService) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Myri\AppData\Local\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) DRV - [2012/06/14 19:01:02 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\egxlnsjw.sys -- (imbxr) DRV - [2012/02/24 11:14:42 | 000,181,432 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssudserd.sys -- (ssudserd) SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.) DRV - [2012/02/24 11:14:42 | 000,181,432 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssudmdm.sys -- (ssudmdm) SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.) DRV - [2012/02/24 11:14:42 | 000,080,824 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssudbus.sys -- (dg_ssudbus) SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.) DRV - [2011/08/05 11:02:46 | 002,203,648 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr) DRV - [2011/07/21 12:11:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb) DRV - [2011/07/21 12:11:11 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011/06/02 07:47:22 | 000,136,808 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdm.sys -- (ssadmdm) DRV - [2011/06/02 07:47:22 | 000,121,064 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadbus.sys -- (ssadbus) SAMSUNG Android USB Composite Device driver (WDM) DRV - [2011/06/02 07:47:22 | 000,012,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdfl.sys -- (ssadmdfl) SAMSUNG Android USB Modem (Filter) DRV - [2010/12/21 07:55:02 | 000,132,424 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdmdm.sys -- (sscdmdm) DRV - [2010/12/21 07:55:02 | 000,123,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_mdm.sys -- (ss_mdm) DRV - [2010/12/21 07:55:02 | 000,104,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdbus.sys -- (sscdbus) SAMSUNG USB Composite Device driver (WDM) DRV - [2010/12/21 07:55:02 | 000,098,560 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bus.sys -- (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM) DRV - [2010/12/21 07:55:02 | 000,014,920 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdmdfl.sys -- (sscdmdfl) DRV - [2010/12/21 07:55:02 | 000,014,848 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_mdfl.sys -- (ss_mdfl) DRV - [2010/11/20 12:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV - [2010/11/20 11:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb) DRV - [2010/10/16 20:55:00 | 010,084,360 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm) DRV - [2010/09/07 22:08:56 | 000,123,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA) DRV - [2009/10/08 17:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009/09/28 11:22:00 | 000,315,392 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\yk62x86.sys -- (yukonw7) DRV - [2009/07/14 01:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp) DRV - [2009/07/14 01:45:33 | 000,083,456 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\serial.sys -- (Serial) DRV - [2009/07/14 00:02:53 | 000,657,408 | ---- | M] (Ralink Technology Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\netr28u.sys -- (netr28u) DRV - [2009/04/09 14:38:30 | 000,110,592 | ---- | M] (ZTE Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbnet.sys -- (ZTEusbnet) DRV - [2009/04/09 14:38:30 | 000,105,344 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\zteusbvoice.sys -- (ZTEusbvoice) DRV - [2009/04/09 14:38:30 | 000,105,344 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - [2009/04/09 14:38:30 | 000,104,960 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - [2009/04/09 14:38:30 | 000,104,960 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - [2009/04/09 14:38:30 | 000,007,680 | R--- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\massfilter.sys -- (massfilter) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.com/?ocid=OIE9HP IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ebay.de/ IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN_de___DE366 IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SMSN_de___DE366 IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms} IE - HKCU\..\SearchScopes\{B101856E-E75F-4D6B-B375-7ADD636BE948}: "URL" = hxxp://suche.web.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) [2012/03/06 19:24:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Myri\AppData\Roaming\mozilla\Extensions [2012/03/06 19:24:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Myri\AppData\Roaming\mozilla\Extensions\{9bf89e93-53d1-f34c-9a65-a01404bea3a5} O1 HOSTS File: ([2009/06/10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [MobileConnect] C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone) O4 - HKCU..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe (Samsung) O4 - HKCU..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe () O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware (cleanup)] C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0 O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta () O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL (Microsoft Corporation) O13 - gopher Prefix: missing O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (QuickTime Object) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class) O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://download.divx.com/player/DivXBrowserPlugin.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx (WRC Class) O16 - DPF: {CAFEEFAC-0015-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_17-windows-i586.cab (Java Plug-in 1.5.0_17) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D0D50155-13E7-4EF3-BF40-EADE1CE14C8C}: DhcpNameServer = 132.230.200.200 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E8A1E113-DACF-49A1-9D62-109D35F0F3EB}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009/06/10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{ac6e3364-1bb2-11df-b07a-002454406071}\Shell - "" = AutoRun O33 - MountPoints2\{ac6e3364-1bb2-11df-b07a-002454406071}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\F\Shell - "" = AutoRun O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2012/06/14 19:23:38 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Users\Myri\Desktop\OTL.exe [2012/06/13 19:08:11 | 000,000,000 | ---D | C] -- C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board-Dateien [2012/06/13 17:52:37 | 000,000,000 | ---D | C] -- C:\Users\Myri\AppData\Roaming\Avira [2012/06/13 17:14:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira [2012/06/13 17:14:13 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\windows\System32\drivers\ssmdrv.sys [2012/06/13 17:14:12 | 000,138,192 | ---- | C] (Avira GmbH) -- C:\windows\System32\drivers\avipbb.sys [2012/06/13 17:14:12 | 000,066,616 | ---- | C] (Avira GmbH) -- C:\windows\System32\drivers\avgntflt.sys [2012/06/13 17:14:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira [2012/06/13 17:14:12 | 000,000,000 | ---D | C] -- C:\Program Files\Avira [2012/06/13 15:57:03 | 000,000,000 | -HSD | C] -- C:\windows\System32\%APPDATA% [2012/06/08 14:15:01 | 000,000,000 | ---D | C] -- C:\Users\Myri\AppData\Roaming\Malwarebytes [2012/06/08 14:14:55 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2012/06/08 14:14:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012/06/08 14:14:53 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys [2012/06/08 14:14:53 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ] [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] [1 C:\Users\Myri\Documents\*.tmp files -> C:\Users\Myri\Documents\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012/06/14 19:23:38 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Myri\Desktop\OTL.exe [2012/06/14 19:16:44 | 000,000,000 | ---- | M] () -- C:\Users\Myri\defogger_reenable [2012/06/14 19:09:45 | 000,001,094 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job [2012/06/14 19:07:00 | 000,001,098 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job [2012/06/14 19:01:02 | 000,054,016 | ---- | M] () -- C:\windows\System32\drivers\egxlnsjw.sys [2012/06/14 19:00:47 | 000,000,884 | ---- | M] () -- C:\windows\tasks\Adobe Flash Player Updater.job [2012/06/14 19:00:42 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat [2012/06/14 14:46:42 | 000,014,512 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2012/06/14 14:46:42 | 000,014,512 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2012/06/14 14:39:04 | 2388,086,784 | -HS- | M] () -- C:\hiberfil.sys [2012/06/13 19:08:14 | 000,083,820 | ---- | M] () -- C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.htm [2012/06/13 19:06:05 | 000,302,592 | ---- | M] () -- C:\Users\Myri\Desktop\gmer.exe [2012/06/13 19:05:16 | 000,050,477 | ---- | M] () -- C:\Users\Myri\Desktop\Defogger.exe [2012/06/13 17:14:23 | 000,002,016 | ---- | M] () -- C:\Users\Public\Desktop\Avira AntiVir Control Center.lnk [2012/06/13 17:10:44 | 000,428,744 | ---- | M] () -- C:\windows\System32\FNTCACHE.DAT [2012/06/13 17:07:02 | 000,657,676 | ---- | M] () -- C:\windows\System32\perfh007.dat [2012/06/13 17:07:02 | 000,618,912 | ---- | M] () -- C:\windows\System32\perfh009.dat [2012/06/13 17:07:02 | 000,131,016 | ---- | M] () -- C:\windows\System32\perfc007.dat [2012/06/13 17:07:02 | 000,107,232 | ---- | M] () -- C:\windows\System32\perfc009.dat [2012/06/08 21:27:15 | 000,054,016 | ---- | M] () -- C:\windows\System32\drivers\xbeutr.sys [2012/06/08 14:23:55 | 000,007,640 | ---- | M] () -- C:\Users\Myri\AppData\Local\Resmon.ResmonCfg [2012/06/08 14:14:56 | 000,001,071 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012/06/07 08:27:06 | 000,196,608 | ---- | M] () -- C:\windows\System32\Ikeext.etl [2 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ] [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] [1 C:\Users\Myri\Documents\*.tmp files -> C:\Users\Myri\Documents\*.tmp -> ] ========== Files Created - No Company Name ========== [2012/06/14 19:16:44 | 000,000,000 | ---- | C] () -- C:\Users\Myri\defogger_reenable [2012/06/14 19:07:48 | 000,018,944 | ---- | C] () -- C:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\800000cb.@ [2012/06/14 19:07:47 | 000,012,288 | ---- | C] () -- C:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@ [2012/06/14 19:03:33 | 000,001,648 | ---- | C] () -- C:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@ [2012/06/14 19:01:02 | 000,054,016 | ---- | C] () -- C:\windows\System32\drivers\egxlnsjw.sys [2012/06/13 19:08:08 | 000,083,820 | ---- | C] () -- C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.htm [2012/06/13 19:06:05 | 000,302,592 | ---- | C] () -- C:\Users\Myri\Desktop\gmer.exe [2012/06/13 19:05:14 | 000,050,477 | ---- | C] () -- C:\Users\Myri\Desktop\Defogger.exe [2012/06/13 17:14:23 | 000,002,016 | ---- | C] () -- C:\Users\Public\Desktop\Avira AntiVir Control Center.lnk [2012/06/08 21:27:15 | 000,054,016 | ---- | C] () -- C:\windows\System32\drivers\xbeutr.sys [2012/06/08 14:14:56 | 000,001,071 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012/02/21 18:30:12 | 000,000,058 | ---- | C] () -- C:\windows\System32\DonationCoder_ScreenshotCaptor_InstallInfo.dat [2012/02/21 18:30:12 | 000,000,058 | ---- | C] () -- C:\Users\Myri\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat [2012/01/10 21:15:56 | 000,002,048 | -HS- | C] () -- C:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\@ [2012/01/10 21:15:56 | 000,002,048 | -HS- | C] () -- C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}\@ [2012/01/05 12:54:04 | 000,554,496 | ---- | C] () -- C:\windows\System32\dvmsg.dll [2011/09/11 17:16:29 | 000,120,200 | ---- | C] () -- C:\windows\System32\DLLDEV32i.dll [2011/07/10 21:36:17 | 000,005,632 | ---- | C] () -- C:\Users\Myri\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011/05/20 22:37:02 | 000,032,608 | ---- | C] () -- C:\windows\king-uninstall.exe [2011/01/29 18:00:24 | 000,030,568 | ---- | C] () -- C:\windows\MusiccityDownload.exe [2011/01/29 18:00:22 | 000,974,848 | ---- | C] () -- C:\windows\System32\cis-2.4.dll [2011/01/29 18:00:22 | 000,081,920 | ---- | C] () -- C:\windows\System32\issacapi_bs-2.3.dll [2011/01/29 18:00:22 | 000,065,536 | ---- | C] () -- C:\windows\System32\issacapi_pe-2.3.dll [2011/01/29 18:00:22 | 000,057,344 | ---- | C] () -- C:\windows\System32\issacapi_se-2.3.dll [2010/12/04 13:03:01 | 000,015,873 | ---- | C] () -- C:\windows\System32\Inetde.dll [2010/07/29 19:51:37 | 000,007,640 | ---- | C] () -- C:\Users\Myri\AppData\Local\Resmon.ResmonCfg [2010/06/15 20:09:11 | 000,000,200 | ---- | C] () -- C:\Users\Myri\AppData\Roaming\wklnhst.dat ========== LOP Check ========== [2011/02/05 15:05:19 | 000,000,000 | -HSD | M] -- C:\Users\Myri\AppData\Roaming\.# [2011/09/10 18:43:26 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\BOM [2011/10/20 16:06:00 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\DesktopIconForAmazon [2012/03/06 19:24:35 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\doctronic [2012/02/21 18:30:12 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\DonationCoder [2011/09/11 17:17:40 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\MAGIX [2012/01/18 12:05:36 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Opera [2011/03/01 20:16:11 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\phonostar GmbH [2010/12/07 17:12:08 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\PlayFirst [2011/07/23 15:28:29 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Registry Mechanic [2011/02/12 16:16:53 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Samsung [2011/09/15 20:09:20 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Software Informer [2012/04/18 19:09:53 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\TeamViewer [2012/04/22 11:12:35 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Temp [2010/06/15 20:09:13 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Template [2012/06/13 16:58:26 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Tobit [2012/03/06 19:24:35 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Verlagsgruppe Huethig Jehle Rehm [2012/03/06 19:24:32 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Verlagsgruppe Hüthig Jehle Rehm (Verlagsgruppe Huethig Jehle Rehm) [2010/02/17 16:38:08 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Vodafone [2012/03/19 19:22:33 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Windows Desktop Search [2011/08/17 21:11:12 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Windows Live Writer [2011/02/26 21:19:44 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Youtube Downloader HD [2012/04/03 08:32:32 | 000,032,640 | ---- | M] () -- C:\windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:A42A9F39 @Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:4CF61E54 @Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:ABE89FFE @Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:E1F04E8D @Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:D1B5B4F1 < End of report > OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 6/14/2012 7:24:55 PM - Run 1
OTL by OldTimer - Version 3.2.48.0 Folder = C:\Users\Myri\Desktop
Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2.97 Gb Total Physical Memory | 1.91 Gb Available Physical Memory | 64.46% Memory free
5.93 Gb Paging File | 4.85 Gb Available in Paging File | 81.82% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 141.49 Gb Total Space | 67.76 Gb Free Space | 47.89% Space Free | Partition Type: NTFS
Drive D: | 141.50 Gb Total Space | 24.73 Gb Free Space | 17.48% Space Free | Partition Type: NTFS
Computer Name: MYRI-PC | User Name: Myri | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation)
.html [@ = Opera.HTML] -- "C:\Program Files\Opera\Opera.exe" "%1"
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Opera\Opera.exe" "%1"
https [open] -- "C:\Program Files\Opera\Opera.exe" "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~3\Office12\ONENOTE.EXE "%L"
Directory [RapidShareManagerMail] -- C:\Program Files\RapidShareManager\RapidShareManager.exe -mailto "%1" (RapidShare AG)
Directory [RapidShareManagerUpload] -- C:\Program Files\RapidShareManager\RapidShareManager.exe -sendto "%1" (RapidShare AG)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
========== Firewall Settings ==========
========== Authorized Applications List ==========
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0138F525-6C8A-333F-A105-14AE030B9A54}" = Visual C++ 9.0 CRT (x86) WinSXS MSM
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{0840B4D6-7DD1-4187-8523-E6FC0007EFB7}" = Windows Live ID-Anmelde-Assistent
"{0C485220-4029-48E7-9F27-965DA4A78D5E}" = Samsung Networking Wizard
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution 4
"{15EB20D6-5F13-41D0-BEF9-C9C44D6AC620}" = SDFormatter
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{178EE5F4-0F86-4BF0-A0D1-9790AFF409D1}" = EasyBatteryManager
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1AFA1FEF-8CF9-4A51-AC46-64FAA7F3D9E2}" = AnyPC Client
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 26
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"{2EA870FA-585F-4187-903D-CB9FFD21E2E0}" = DHTML Editing Component
"{3248F0A8-6813-11D6-A77B-00B0D0150170}" = J2SE Runtime Environment 5.0 Update 17
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{47D50190-9DAD-4FFE-9EFA-6D278B2C4810}" = MapSource Product Install
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8927E07C-97F7-4A54-88FB-D976F50DD46E}" = Turbo Lister 2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISER_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISER_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISER_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISER_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISER_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{91120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{91120000-0030-0000-0000-0000000FF1CE}_ENTERPRISER_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{994223F3-A99B-4DDD-9E1D-0190A17C6860}" = Windows Live Family Safety
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A5675A9E-F073-414A-9A04-F9BCD50459D7}" = Easy Network Manager
"{A83279FD-CA4B-4206-9535-90974DE76654}" = Apple Application Support
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver" = NVIDIA HD-Audiotreiber 1.1.9.0
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"{CCC2B140-B47A-45FA-AAE3-BD60DA41AE00}" = Samsung Support Center
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D1434266-0486-4469-B338-A60082CC04E1}" = Atheros Client Installation Program
"{D3F2FAA5-FEC4-42AA-9ABA-1F763919A2B5}" = Samsung Update Plus
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E3B99F3D-9856-482A-9048-305E28E2510C}" = Vodafone Mobile Connect Lite
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Biet-O-Matic v2.14.8" = Biet-O-Matic v2.14.8
"DesktopIconAmazon" = Desktop Icon für Amazon
"ENTERPRISER" = Microsoft Office Enterprise 2007
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"InstallShield_{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"king.com" = king.com (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Marvell Miniport Driver" = Marvell Miniport Driver
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"NoLimits Coasters Demo" = NoLimits Coasters Demo 1.55 (remove only)
"OpenAL" = OpenAL
"RapidShare Manager" = RapidShare Manager
"ScreenshotCaptor_is1" = Screenshot Captor 3.00.00
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"SystemRequirementsLab" = System Requirements Lab
"TeamViewer 7" = TeamViewer 7
"The KMPlayer" = The KMPlayer (remove only)
"Verlagsgruppe Huethig Jehle Rehm_Coll_HJR_HPVG" = Decker Verlag - Wahlleitfaden nach HPVG
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"MyFreeCodec" = MyFreeCodec
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 8/10/2011 6:36:34 AM | Computer Name = Myri-PC | Source = VMCService | ID = 0
Description = GetLoggedOnUser
Error - 8/10/2011 11:29:17 AM | Computer Name = Myri-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
Error - 8/10/2011 2:18:02 PM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\Samsung
Support Center\Drv\drv2x64\KStartMem.exe.Manifest". Die abhängige Assemblierung
"Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 8/10/2011 3:20:08 PM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\Samsung
Support Center\Drv\drv2x64\KStartMem.exe.Manifest". Die abhängige Assemblierung
"Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 8/10/2011 3:20:24 PM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\BatteryLifeExtender\Drv\SABI2x64\KStartMem.exe.Manifest".
Die
abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 8/12/2011 3:56:42 AM | Computer Name = Myri-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
Error - 8/12/2011 8:02:39 AM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\Samsung
Support Center\Drv\drv2x64\KStartMem.exe.Manifest". Die abhängige Assemblierung
"Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 8/12/2011 8:03:07 AM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\BatteryLifeExtender\Drv\SABI2x64\KStartMem.exe.Manifest".
Die
abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 8/12/2011 8:06:56 AM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842811
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft\search
enhancement pack\search helper\sepsearchhelperie.dll". Fehler in Manifest- oder
Richtliniendatei "c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll"
in Zeile 2. Ungültige XML-Syntax.
Error - 8/13/2011 3:43:10 AM | Computer Name = Myri-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
[ OSession Events ]
Error - 12/12/2010 7:06:03 AM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 7
seconds with 0 seconds of active time. This session ended with a crash.
Error - 1/31/2011 6:22:56 AM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 7
seconds with 0 seconds of active time. This session ended with a crash.
Error - 3/25/2011 4:12:46 AM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 10
seconds with 0 seconds of active time. This session ended with a crash.
Error - 4/9/2011 3:02:09 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 8
seconds with 0 seconds of active time. This session ended with a crash.
Error - 6/3/2011 2:12:54 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 18
seconds with 0 seconds of active time. This session ended with a crash.
Error - 6/3/2011 2:25:53 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 9
seconds with 0 seconds of active time. This session ended with a crash.
Error - 6/3/2011 2:30:48 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 4
seconds with 0 seconds of active time. This session ended with a crash.
Error - 7/20/2011 4:07:27 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 25105
seconds with 60 seconds of active time. This session ended with a crash.
[ System Events ]
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%-2147024891
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
Fehler beendet: %%-2147024891
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 6/14/2012 1:24:45 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 6/14/2012 1:24:45 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 6/14/2012 1:24:54 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 6/14/2012 1:24:54 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
< End of report >
[/Code] gmer logdatei [Code] GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-06-14 20:25:17
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD32 rev.11.0
Running: gmer.exe; Driver: C:\Users\Myri\AppData\Local\Temp\kxldypod.sys
---- System - GMER 1.0.15 ----
SSDT 93B9B84E ZwCreateSection
SSDT 93B9B853 ZwSetContextThread
SSDT 93B9B7EF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwRollbackEnlistment + 1409 83489989 1 Byte [06]
.text ntoskrnl.exe!KiDispatchInterrupt + 5A2 834A94E2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntoskrnl.exe!KeRemoveQueueEx + 14BF 834B087C 4 Bytes [4E, B8, B9, 93]
.text ntoskrnl.exe!KeRemoveQueueEx + 185F 834B0C1C 4 Bytes [53, B8, B9, 93]
.text ntoskrnl.exe!KeRemoveQueueEx + 1937 834B0CF4 4 Bytes [EF, B7, B9, 93] {OUT DX, EAX; MOV BH, 0xb9; XCHG EBX, EAX}
? System32\drivers\qkgkqnm.sys Das System kann den angegebenen Pfad nicht finden. !
---- User code sections - GMER 1.0.15 ----
? C:\windows\system32\services.exe[576] C:\windows\system32\smss.exe image checksum mismatch; time/date stamp mismatch; unknown module: MSWSOCK.dll
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
Device \Driver\ACPI_HAL \Device\00000049 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
das solls nun erst mal an logs gewesen sein. |
|
15.06.2012, 06:54
| #2 |
| /// Malwareteam    | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ CkScan
__________________Downloade dir bitte CKScanner Wichtig: Speichere die Datei am Desktop.
__________________ |
|
15.06.2012, 11:56
| #3 |
| | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ Hallo PSYCHOTI
__________________Danke für die hilfe, hoffe du sitzt noch im Büro sonst wirds erst nächste wocher weitergehen Schönen WE an ALLE SLYDER Logfile CKScanner Code:
ATTFilter CKScanner - Additional Security Risks - These are not necessarily bad
scanner sequence 3.MN.11.EMAPDU
----- EOF -----
|
|
18.06.2012, 06:51
| #4 | |
| /// Malwareteam | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten. Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
18.06.2012, 09:30
| #5 |
| | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ Hallo Psychotic Hatte Antivir und Wlan dektiviert. Nachdem ich combofix gestartet hatte, stand es kurzzeitig bei ca. der Hälfte still. Dann ging es ganz schnell und es wurde für den Bruchteil einer Sekunde ein Fenster eingeblendet welches auf grund der kurzen Zeit nicht zu lesen war. Eine C:\Combofix.txt Datei gibt es nicht. Dafür wurde zwischenzeitlich ein laufwerk *B* angezeigt mit dem kompletten Inhalt meines *D* Laufwerks. Auf c hat sich nun ein verzeichniss erstellt c:\Qoobox Auch nach Neustart ist nichts hinzugekommen. slyder |
|
18.06.2012, 10:39
| #6 | |
| /// Malwareteam | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{Zitat:
FRST Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
Mit Windows CD/DVD
Wähle in den Reparaturoptionen Eingabeaufforderung
__________________ --> Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ |
|
18.06.2012, 11:45
| #7 |
| | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ frst.exe lief, txt ist gespeichert und nun steht das programm wieder am auswahlfenster. Kann das nun geschloßen werden oder bleibt der Rechner nun im recovery mode, stehen oder kann das wieder verlassen werden ? hier die frst.txt Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST written by Farbar) Version: 17-06-2012 02 Ran by SYSTEM at 18-06-2012 12:28:49 Running from H:\ Windows 7 Home Premium (X86) OS Language: English(US) The current controlset is ControlSet001 ========================== Registry (Whitelisted) ============= HKLM\...\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent [2327552 2009-04-20] (Vodafone) HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [30040 2009-02-26] (Microsoft Corporation) HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-01-02] (Adobe Systems Incorporated) HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2011-10-24] (Apple Inc.) HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59240 2011-09-26] (Apple Inc.) HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [348624 2012-05-01] (Avira Operations GmbH & Co. KG) HKU\Myri\...\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2009-12-04] (Google Inc.) HKU\Myri\...\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe /s [x] HKU\Myri\...\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [21432 2012-06-08] () HKU\Myri\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [17356424 2012-04-05] (Skype Technologies S.A.) Tcpip\Parameters: [DhcpNameServer] 192.168.2.1 ================================ Services (Whitelisted) ================== 2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [86224 2012-05-01] (Avira Operations GmbH & Co. KG) 2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [110032 2012-05-01] (Avira Operations GmbH & Co. KG) 2 eventlog; C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted [20992 2009-07-13] (Microsoft Corporation) 3 hkmsvc; C:\Windows\System32\kmsvc.dll [71168 2010-11-20] (Microsoft Corporation) 2 ICM_UpdaterService; C:\Program Files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe [204883 2011-03-18] () 2 RichVideo; "C:\Program Files\CyberLink\Shared files\RichVideo.exe" [247152 2009-07-07] () 2 SkypeUpdate; "C:\Program Files\Skype\Updater\Updater.exe" [158856 2012-04-05] (Skype Technologies) 2 TeamViewer7; C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe [2666880 2012-03-19] (TeamViewer GmbH) 2 VMCService; "C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe" [9216 2009-04-20] (Vodafone) ========================== Drivers (Whitelisted) ============= 2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-04-24] (Avira GmbH) 1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-04-27] (Avira GmbH) 1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-04-16] (Avira GmbH) 3 BridgeMP; C:\Windows\System32\DRIVERS\bridge.sys [78336 2009-07-13] (Microsoft Corporation) 3 dg_ssudbus; C:\Windows\System32\DRIVERS\ssudbus.sys [80824 2012-05-20] (DEVGURU Co., LTD.(www.devguru.co.kr)) 3 iirsp; C:\Windows\system32\DRIVERS\iirsp.sys [41040 2009-07-13] (Intel Corp./ICP vortex GmbH) 3 massfilter; C:\Windows\System32\DRIVERS\massfilter.sys [7680 2009-04-09] (ZTE Incorporated) 3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [657408 2009-07-13] (Ralink Technology Corp.) 1 SABI; \??\C:\windows\system32\Drivers\SABI.sys [10752 2009-05-27] (SAMSUNG ELECTRONICS) 3 ssadbus; C:\Windows\System32\DRIVERS\ssadbus.sys [121064 2011-06-01] (MCCI Corporation) 3 ssadmdfl; C:\Windows\System32\DRIVERS\ssadmdfl.sys [12776 2011-06-01] (MCCI Corporation) 3 ssadmdm; C:\Windows\System32\DRIVERS\ssadmdm.sys [136808 2011-06-01] (MCCI Corporation) 3 sscdbus; C:\Windows\System32\DRIVERS\sscdbus.sys [104648 2010-12-20] (MCCI Corporation) 3 sscdmdfl; C:\Windows\System32\DRIVERS\sscdmdfl.sys [14920 2010-12-20] (MCCI Corporation) 3 sscdmdm; C:\Windows\System32\DRIVERS\sscdmdm.sys [132424 2010-12-20] (MCCI Corporation) 1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH) 3 ssudmdm; C:\Windows\System32\DRIVERS\ssudmdm.sys [181432 2012-05-20] (DEVGURU Co., LTD.(www.devguru.co.kr)) 3 ssudserd; C:\Windows\System32\DRIVERS\ssudserd.sys [181432 2012-05-20] (DEVGURU Co., LTD.(www.devguru.co.kr)) 3 ss_bus; C:\Windows\System32\DRIVERS\ss_bus.sys [98560 2010-12-20] (MCCI Corporation) 3 ss_mdfl; C:\Windows\System32\DRIVERS\ss_mdfl.sys [14848 2010-12-20] (MCCI Corporation) 3 ss_mdm; C:\Windows\System32\DRIVERS\ss_mdm.sys [123776 2010-12-20] (MCCI Corporation) 3 yukonw7; C:\Windows\System32\DRIVERS\yk62x86.sys [315392 2009-09-28] () 3 ZTEusbmdm6k; C:\Windows\System32\DRIVERS\ZTEusbmdm6k.sys [104960 2009-04-09] (ZTE Incorporated) 3 ZTEusbnet; C:\Windows\System32\DRIVERS\ZTEusbnet.sys [110592 2009-04-09] (ZTE Corporation) 3 ZTEusbnmea; C:\Windows\System32\DRIVERS\ZTEusbnmea.sys [105344 2009-04-09] (ZTE Incorporated) 3 ZTEusbser6k; C:\Windows\System32\DRIVERS\ZTEusbser6k.sys [104960 2009-04-09] (ZTE Incorporated) 3 ZTEusbvoice; C:\Windows\System32\DRIVERS\ZTEusbvoice.sys [105344 2009-04-09] (ZTE Incorporated) 3 cpuz132; \??\C:\Users\Myri\AppData\Local\Temp\cpuz132\cpuz132_x32.sys [x] 3 dgderdrv; C:\Windows\System32\drivers\dgderdrv.sys [x] ========================== NetSvcs (Whitelisted) =========== ============ One Month Created Files and Folders ============== 2012-06-18 12:28 - 2012-06-18 12:29 - 00000000 ____D C:\FRST 2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ___SD C:\32788R22FWJFW 2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ____D C:\Windows\erdnt 2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ____D C:\Qoobox 2012-06-17 22:31 - 2012-06-17 22:32 - 04560591 ____R (Swearware) C:\Users\Myri\Desktop\ComboFix.exe 2012-06-17 10:27 - 2012-05-20 18:09 - 00181432 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudserd.sys 2012-06-17 10:27 - 2012-05-20 18:09 - 00181432 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudmdm.sys 2012-06-17 10:27 - 2012-05-20 18:09 - 00080824 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudbus.sys 2012-06-17 10:16 - 2012-06-17 10:16 - 00210944 ____A C:\Users\Myri\Desktop\Schichtplan 2012.xls 2012-06-16 05:50 - 2012-05-04 01:59 - 00514560 ____A (Microsoft Corporation) C:\Windows\System32\qdvd.dll 2012-06-15 07:39 - 2012-06-15 07:39 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Avira 2012-06-15 07:37 - 2012-06-15 07:37 - 00001940 ____A C:\Users\Public\Desktop\Avira Control Center.lnk 2012-06-15 07:37 - 2012-04-27 00:20 - 00137928 ____A (Avira GmbH) C:\Windows\System32\Drivers\avipbb.sys 2012-06-15 07:37 - 2012-04-24 14:32 - 00083392 ____A (Avira GmbH) C:\Windows\System32\Drivers\avgntflt.sys 2012-06-15 07:37 - 2012-04-16 11:18 - 00036000 ____A (Avira GmbH) C:\Windows\System32\Drivers\avkmgr.sys 2012-06-15 07:37 - 2010-06-17 05:14 - 00028520 ____A (Avira GmbH) C:\Windows\System32\Drivers\ssmdrv.sys 2012-06-15 07:36 - 2012-06-15 07:36 - 00000000 ____D C:\Users\All Users\Avira 2012-06-15 07:36 - 2012-06-15 07:36 - 00000000 ____D C:\Program Files\Avira 2012-06-15 02:53 - 2012-06-15 02:53 - 00000123 ____A C:\Users\Myri\Desktop\ckfiles.txt 2012-06-15 02:47 - 2012-06-15 02:47 - 00458240 ____A () C:\Users\Myri\Desktop\CKScanner.exe 2012-06-14 10:25 - 2012-06-14 10:25 - 00003457 ____A C:\Users\Myri\Desktop\gmer.txt 2012-06-14 09:30 - 2012-06-14 09:30 - 00049106 ____A C:\Users\Myri\Desktop\Extras.Txt 2012-06-14 09:28 - 2012-06-14 09:28 - 00069044 ____A C:\Users\Myri\Desktop\OTL.Txt 2012-06-14 09:23 - 2012-06-14 09:23 - 00596480 ____A (OldTimer Tools) C:\Users\Myri\Desktop\OTL.exe 2012-06-14 09:16 - 2012-06-14 09:21 - 00000470 ____A C:\Users\Myri\Desktop\defogger_disable.log 2012-06-14 09:16 - 2012-06-14 09:16 - 00000000 ____A C:\Users\Myri\defogger_reenable 2012-06-14 04:45 - 2012-06-14 05:24 - 99218336 ____A C:\Users\Myri\Downloads\avira_free_antivirus_en.exe 2012-06-13 10:44 - 2012-06-13 10:44 - 00002670 ____A C:\Users\Myri\Desktop\maleware-log-2012-06-13 (18-48-15).txt 2012-06-13 09:08 - 2012-06-13 09:08 - 00083820 ____A C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.htm 2012-06-13 09:08 - 2012-06-13 09:08 - 00000000 ____D C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board-Dateien 2012-06-13 09:06 - 2012-06-13 09:06 - 00302592 ____A C:\Users\Myri\Desktop\gmer.exe 2012-06-13 09:05 - 2012-06-13 09:05 - 00050477 ____A C:\Users\Myri\Desktop\Defogger.exe 2012-06-13 07:08 - 2012-06-13 07:08 - 00196164 ____A C:\Windows\ntbtlog.txt 2012-06-13 07:01 - 2012-05-17 15:11 - 12314624 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll 2012-06-13 07:01 - 2012-05-17 14:48 - 09737728 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll 2012-06-13 07:01 - 2012-05-17 14:45 - 01800192 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll 2012-06-13 07:01 - 2012-05-17 14:36 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll 2012-06-13 07:01 - 2012-05-17 14:35 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl 2012-06-13 07:01 - 2012-05-17 14:35 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll 2012-06-13 07:01 - 2012-05-17 14:33 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll 2012-06-13 07:01 - 2012-05-17 14:31 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll 2012-06-13 07:01 - 2012-05-17 14:29 - 00716800 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll 2012-06-13 07:01 - 2012-05-17 14:29 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe 2012-06-13 07:01 - 2012-05-17 14:27 - 01793024 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll 2012-06-13 07:01 - 2012-05-17 14:25 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll 2012-06-13 07:01 - 2012-05-17 14:24 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb 2012-06-13 07:01 - 2012-05-17 14:20 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll 2012-06-13 05:57 - 2012-06-13 05:57 - 00000000 __SHD C:\Windows\System32\%APPDATA% 2012-06-12 21:58 - 2012-04-27 19:17 - 00183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys 2012-06-12 21:56 - 2012-05-14 17:05 - 02343936 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys 2012-06-12 21:56 - 2012-04-30 20:44 - 00164352 ____A (Microsoft Corporation) C:\Windows\System32\profsvc.dll 2012-06-12 21:56 - 2012-04-25 20:45 - 00129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll 2012-06-12 21:56 - 2012-04-25 20:45 - 00058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll 2012-06-12 21:56 - 2012-04-25 20:41 - 00008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe 2012-06-12 21:56 - 2012-04-23 20:36 - 01158656 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll 2012-06-12 21:56 - 2012-04-23 20:36 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll 2012-06-12 21:56 - 2012-04-23 20:36 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll 2012-06-12 21:56 - 2012-04-07 03:26 - 02342400 ____A (Microsoft Corporation) C:\Windows\System32\msi.dll 2012-06-08 11:36 - 2011-09-11 08:00 - 52690944 ____A C:\Windows\System32\config\software.bak 2012-06-08 11:36 - 2011-09-11 08:00 - 21495808 ____A C:\Windows\System32\config\system.bak 2012-06-08 11:36 - 2011-09-11 08:00 - 00262144 ____A C:\Windows\System32\config\security.bak 2012-06-08 11:36 - 2011-09-11 08:00 - 00262144 ____A C:\Windows\System32\config\sam.bak 2012-06-08 11:36 - 2011-09-11 08:00 - 00262144 ____A C:\Windows\System32\config\default.bak 2012-06-08 11:30 - 2012-06-18 02:05 - 00533549 ____A C:\Windows\WindowsUpdate.log 2012-06-08 11:28 - 2012-06-15 09:33 - 00010414 ____A C:\Windows\PFRO.log 2012-06-08 11:27 - 2012-06-08 11:27 - 00054016 ____A C:\Windows\System32\Drivers\xbeutr.sys 2012-06-08 11:21 - 2012-06-18 00:16 - 00002367 ____A C:\Windows\setupact.log 2012-06-08 11:21 - 2012-06-08 11:21 - 00000000 ____A C:\Windows\setuperr.log 2012-06-08 04:15 - 2012-06-08 04:15 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Malwarebytes 2012-06-08 04:14 - 2012-06-08 04:14 - 00001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2012-06-08 04:14 - 2012-06-08 04:14 - 00000000 ____D C:\Users\All Users\Malwarebytes 2012-06-08 04:14 - 2012-06-08 04:14 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware 2012-06-08 04:14 - 2012-04-04 05:56 - 00022344 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys 2012-06-08 04:12 - 2012-06-08 04:14 - 10063000 ____A (Malwarebytes Corporation ) C:\Users\Myri\Downloads\mbam-setup-1.61.0.1400.exe ============ 3 Months Modified Files and Folders =============== 2012-06-18 12:29 - 2012-06-18 12:28 - 00000000 ____D C:\FRST 2012-06-18 02:05 - 2012-06-08 11:30 - 00533549 ____A C:\Windows\WindowsUpdate.log 2012-06-18 02:05 - 2011-07-13 12:45 - 00196608 ____A C:\Windows\System32\Ikeext.etl 2012-06-18 02:04 - 2009-07-26 12:06 - 01507106 ____A C:\Windows\System32\PerfStringBackup.INI 2012-06-18 01:44 - 2012-04-09 22:56 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job 2012-06-18 01:07 - 2010-02-13 12:01 - 00001098 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2012-06-18 00:24 - 2009-07-13 20:34 - 00014512 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2012-06-18 00:24 - 2009-07-13 20:34 - 00014512 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2012-06-18 00:17 - 2012-03-15 08:51 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Skype 2012-06-18 00:16 - 2012-06-08 11:21 - 00002367 ____A C:\Windows\setupact.log 2012-06-18 00:16 - 2010-02-13 12:01 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2012-06-18 00:16 - 2009-12-05 08:45 - 3184119808 __ASH C:\pagefile.sys 2012-06-18 00:16 - 2009-12-05 08:45 - 2388086784 __ASH C:\hiberfil.sys 2012-06-18 00:16 - 2009-12-05 08:45 - 00000000 __SHD C:\System Volume Information 2012-06-18 00:16 - 2009-07-13 20:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT 2012-06-18 00:16 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\tracing 2012-06-17 23:12 - 2010-08-15 09:14 - 00000000 ____D C:\Users\Myri\AppData\Local\ElevatedDiagnostics 2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ___SD C:\32788R22FWJFW 2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ____D C:\Windows\erdnt 2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ____D C:\Qoobox 2012-06-17 22:40 - 2009-07-13 18:37 - 00000000 ____D C:\Windows 2012-06-17 22:32 - 2012-06-17 22:31 - 04560591 ____R (Swearware) C:\Users\Myri\Desktop\ComboFix.exe 2012-06-17 10:27 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\DriverStore 2012-06-17 10:16 - 2012-06-17 10:16 - 00210944 ____A C:\Users\Myri\Desktop\Schichtplan 2012.xls 2012-06-17 10:15 - 2011-03-30 05:39 - 00000000 ___RD C:\Users\Myri\Desktop\Mario 2012-06-17 09:07 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\NDF 2012-06-16 06:05 - 2010-10-07 08:14 - 00000000 __SHD C:\Config.Msi 2012-06-15 09:33 - 2012-06-08 11:28 - 00010414 ____A C:\Windows\PFRO.log 2012-06-15 09:33 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\schemas 2012-06-15 07:39 - 2012-06-15 07:39 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Avira 2012-06-15 07:37 - 2012-06-15 07:37 - 00001940 ____A C:\Users\Public\Desktop\Avira Control Center.lnk 2012-06-15 07:36 - 2012-06-15 07:36 - 00000000 ____D C:\Users\All Users\Avira 2012-06-15 07:36 - 2012-06-15 07:36 - 00000000 ____D C:\Program Files\Avira 2012-06-15 07:36 - 2009-07-13 18:37 - 00000000 ___RD C:\Program Files 2012-06-15 07:36 - 2009-07-13 18:37 - 00000000 ___HD C:\ProgramData 2012-06-15 07:30 - 2012-04-09 22:56 - 00426184 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe 2012-06-15 07:30 - 2011-05-14 23:37 - 00070344 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl 2012-06-15 02:53 - 2012-06-15 02:53 - 00000123 ____A C:\Users\Myri\Desktop\ckfiles.txt 2012-06-15 02:47 - 2012-06-15 02:47 - 00458240 ____A () C:\Users\Myri\Desktop\CKScanner.exe 2012-06-14 23:32 - 2009-12-05 09:26 - 00000000 ____D C:\Windows\ShellNew 2012-06-14 10:25 - 2012-06-14 10:25 - 00003457 ____A C:\Users\Myri\Desktop\gmer.txt 2012-06-14 09:30 - 2012-06-14 09:30 - 00049106 ____A C:\Users\Myri\Desktop\Extras.Txt 2012-06-14 09:28 - 2012-06-14 09:28 - 00069044 ____A C:\Users\Myri\Desktop\OTL.Txt 2012-06-14 09:23 - 2012-06-14 09:23 - 00596480 ____A (OldTimer Tools) C:\Users\Myri\Desktop\OTL.exe 2012-06-14 09:21 - 2012-06-14 09:16 - 00000470 ____A C:\Users\Myri\Desktop\defogger_disable.log 2012-06-14 09:16 - 2012-06-14 09:16 - 00000000 ____A C:\Users\Myri\defogger_reenable 2012-06-14 09:16 - 2010-02-13 10:52 - 00000000 ____D C:\users\Myri 2012-06-14 05:24 - 2012-06-14 04:45 - 99218336 ____A C:\Users\Myri\Downloads\avira_free_antivirus_en.exe 2012-06-14 04:39 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\PLA 2012-06-13 12:48 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\rescache 2012-06-13 11:06 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\Microsoft.NET 2012-06-13 10:44 - 2012-06-13 10:44 - 00002670 ____A C:\Users\Myri\Desktop\maleware-log-2012-06-13 (18-48-15).txt 2012-06-13 09:08 - 2012-06-13 09:08 - 00083820 ____A C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.htm 2012-06-13 09:08 - 2012-06-13 09:08 - 00000000 ____D C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board-Dateien 2012-06-13 09:06 - 2012-06-13 09:06 - 00302592 ____A C:\Users\Myri\Desktop\gmer.exe 2012-06-13 09:05 - 2012-06-13 09:05 - 00050477 ____A C:\Users\Myri\Desktop\Defogger.exe 2012-06-13 07:10 - 2009-07-13 20:33 - 00428744 ____A C:\Windows\System32\FNTCACHE.DAT 2012-06-13 07:08 - 2012-06-13 07:08 - 00196164 ____A C:\Windows\ntbtlog.txt 2012-06-13 07:08 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\de-DE 2012-06-13 07:07 - 2010-02-13 10:57 - 00000000 ____D C:\Users\All Users\Microsoft Help 2012-06-13 07:04 - 2010-02-13 11:48 - 56731752 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe 2012-06-13 06:59 - 2010-09-18 03:16 - 00000000 ____D C:\Program Files\TeamViewer 2012-06-13 06:58 - 2012-05-12 00:43 - 00000000 ____D C:\Program Files\TweakNow RegCleaner 2012 2012-06-13 06:58 - 2012-01-05 02:54 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Tobit 2012-06-13 05:57 - 2012-06-13 05:57 - 00000000 __SHD C:\Windows\System32\%APPDATA% 2012-06-11 09:21 - 2012-03-14 10:36 - 00000000 ____D C:\Users\Myri\Desktop\für den Fall der Fälle 2012-06-11 09:17 - 2012-03-15 01:45 - 00000000 ____D C:\Users\Myri\Desktop\Gutscheine 2012-06-11 09:02 - 2011-02-01 05:19 - 00000000 ____D C:\Users\Myri\AppData\Local\eMule 2012-06-11 09:02 - 2011-02-01 05:19 - 00000000 ____D C:\Users\All Users\eMule 2012-06-11 09:02 - 2009-12-04 15:55 - 00000000 ____D C:\Program Files\Samsung 2012-06-08 22:31 - 2012-01-10 11:15 - 00000000 __SHD C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627} 2012-06-08 11:28 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\config\TxR 2012-06-08 11:27 - 2012-06-08 11:27 - 00054016 ____A C:\Windows\System32\Drivers\xbeutr.sys 2012-06-08 11:21 - 2012-06-08 11:21 - 00000000 ____A C:\Windows\setuperr.log 2012-06-08 04:23 - 2010-07-29 09:51 - 00007640 ____A C:\Users\Myri\AppData\Local\Resmon.ResmonCfg 2012-06-08 04:15 - 2012-06-08 04:15 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Malwarebytes 2012-06-08 04:14 - 2012-06-08 04:14 - 00001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2012-06-08 04:14 - 2012-06-08 04:14 - 00000000 ____D C:\Users\All Users\Malwarebytes 2012-06-08 04:14 - 2012-06-08 04:14 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware 2012-06-08 04:14 - 2012-06-08 04:12 - 10063000 ____A (Malwarebytes Corporation ) C:\Users\Myri\Downloads\mbam-setup-1.61.0.1400.exe 2012-05-28 23:38 - 2011-01-29 08:00 - 00330240 ____A ((?)????) C:\Windows\MASetupCaller.dll 2012-05-20 18:09 - 2012-06-17 10:27 - 00181432 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudserd.sys 2012-05-20 18:09 - 2012-06-17 10:27 - 00181432 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudmdm.sys 2012-05-20 18:09 - 2012-06-17 10:27 - 00080824 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudbus.sys 2012-05-18 04:20 - 2010-02-13 11:08 - 00000000 ____D C:\Program Files\Microsoft Silverlight 2012-05-17 15:11 - 2012-06-13 07:01 - 12314624 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll 2012-05-17 14:48 - 2012-06-13 07:01 - 09737728 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll 2012-05-17 14:45 - 2012-06-13 07:01 - 01800192 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll 2012-05-17 14:36 - 2012-06-13 07:01 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll 2012-05-17 14:35 - 2012-06-13 07:01 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl 2012-05-17 14:35 - 2012-06-13 07:01 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll 2012-05-17 14:33 - 2012-06-13 07:01 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll 2012-05-17 14:31 - 2012-06-13 07:01 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll 2012-05-17 14:29 - 2012-06-13 07:01 - 00716800 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll 2012-05-17 14:29 - 2012-06-13 07:01 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe 2012-05-17 14:27 - 2012-06-13 07:01 - 01793024 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll 2012-05-17 14:25 - 2012-06-13 07:01 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll 2012-05-17 14:24 - 2012-06-13 07:01 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb 2012-05-17 14:20 - 2012-06-13 07:01 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll 2012-05-16 00:22 - 2012-05-14 07:49 - 00035296 ____A C:\Users\Myri\Downloads\Extra_Konto_5503289068_Kontoauszug_20120104.pdf 2012-05-14 22:57 - 2012-05-12 00:27 - 00000000 ____D C:\Program Files\RegCleaner 2012-05-14 22:57 - 2012-05-01 04:12 - 00000000 ___RD C:\Program Files\Skype 2012-05-14 22:57 - 2012-05-01 04:12 - 00000000 ____D C:\Users\All Users\Skype 2012-05-14 22:57 - 2012-05-01 04:12 - 00000000 ____D C:\Program Files\Common Files\Skype 2012-05-14 22:57 - 2010-02-21 10:45 - 00000000 ____D C:\Users\Myri\Documents\Youcam 2012-05-14 22:57 - 2009-12-05 09:26 - 00000000 ____D C:\Program Files\Windows Journal 2012-05-14 22:57 - 2009-12-04 16:07 - 00000000 ____D C:\Users\All Users\WinClon 2012-05-14 22:56 - 2009-12-04 15:55 - 00000000 ____D C:\Windows\System32\Macromed 2012-05-14 22:56 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\registration 2012-05-14 17:05 - 2012-06-12 21:56 - 02343936 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys 2012-05-14 07:41 - 2012-04-27 08:39 - 00000000 ____D C:\Users\Myri\Desktop\Kroatienurlaub 2012-05-12 00:43 - 2012-05-12 00:41 - 06444392 ____A (TweakNow.com ) C:\Users\Myri\Downloads\RegCleaner710.exe 2012-05-12 00:27 - 2012-05-12 00:27 - 00553687 ____A C:\Users\Myri\Downloads\RegCleaner.exe 2012-05-04 01:59 - 2012-06-16 05:50 - 00514560 ____A (Microsoft Corporation) C:\Windows\System32\qdvd.dll 2012-05-01 04:12 - 2012-05-01 04:12 - 00002505 ____A C:\Users\Public\Desktop\Skype.lnk 2012-04-30 20:44 - 2012-06-12 21:56 - 00164352 ____A (Microsoft Corporation) C:\Windows\System32\profsvc.dll 2012-04-30 08:30 - 2012-01-18 02:05 - 00000000 ____D C:\Program Files\Opera 2012-04-27 19:17 - 2012-06-12 21:58 - 00183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys 2012-04-27 00:20 - 2012-06-15 07:37 - 00137928 ____A (Avira GmbH) C:\Windows\System32\Drivers\avipbb.sys 2012-04-25 20:45 - 2012-06-12 21:56 - 00129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll 2012-04-25 20:45 - 2012-06-12 21:56 - 00058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll 2012-04-25 20:41 - 2012-06-12 21:56 - 00008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe 2012-04-24 14:32 - 2012-06-15 07:37 - 00083392 ____A (Avira GmbH) C:\Windows\System32\Drivers\avgntflt.sys 2012-04-23 20:36 - 2012-06-12 21:56 - 01158656 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll 2012-04-23 20:36 - 2012-06-12 21:56 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll 2012-04-23 20:36 - 2012-06-12 21:56 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll 2012-04-18 09:09 - 2010-09-18 03:16 - 00000000 ____D C:\Users\Myri\AppData\Roaming\TeamViewer 2012-04-16 11:18 - 2012-06-15 07:37 - 00036000 ____A (Avira GmbH) C:\Windows\System32\Drivers\avkmgr.sys 2012-04-09 23:30 - 2011-04-06 09:54 - 00000000 ___RD C:\Users\Myri\Desktop\Myri 2012-04-07 03:26 - 2012-06-12 21:56 - 02342400 ____A (Microsoft Corporation) C:\Windows\System32\msi.dll 2012-04-04 05:56 - 2012-06-08 04:14 - 00022344 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys 2012-04-02 23:40 - 2010-11-06 13:21 - 00000000 ____D C:\Program Files\RapidShareManager 2012-04-02 22:45 - 2011-09-11 07:45 - 00000000 ____D C:\Users\Myri\Documents\MAGIX_MxTray 2012-04-02 22:45 - 2011-09-11 07:16 - 00000000 ____D C:\Users\All Users\MAGIX 2012-04-02 22:44 - 2011-10-21 06:52 - 00000000 ____D C:\Program Files\BMWi 2012-04-02 22:32 - 2009-07-13 20:53 - 00032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT 2012-03-30 20:39 - 2012-05-08 22:11 - 03968368 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe 2012-03-30 20:39 - 2012-05-08 22:11 - 03913072 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe 2012-03-30 09:42 - 2012-03-30 09:42 - 00029691 ____A C:\Users\Myri\Documents\Caponate mit Mozarellabrot.docx 2012-03-30 09:38 - 2012-03-30 09:38 - 00029943 ____A C:\Users\Myri\Documents\Ahle-Worsch-Salat.docx 2012-03-30 09:38 - 2012-03-30 09:38 - 00000000 ____D C:\Users\Myri\Documents\Rezepte 2012-03-30 02:23 - 2012-05-08 22:11 - 01291632 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys 2012-03-27 09:01 - 2012-03-27 09:01 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Apple 2012-03-25 10:46 - 2011-07-10 11:04 - 00000000 ____D C:\Temp 2012-03-25 09:55 - 2012-03-25 09:55 - 00345826 ____A C:\Users\Myri\Downloads\cocpit raus c5 forum.jpg 2012-03-23 01:09 - 2012-03-23 01:09 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Microsoft Corporation 2012-03-21 13:42 - 2010-02-13 11:41 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Google 2012-03-21 10:46 - 2012-03-21 10:46 - 00000000 ____D C:\Users\Myri\Desktop\rep anleitung ZeroAccess: C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627} C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\L C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U ZeroAccess: C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627} C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}\@ C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}\L C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}\U ========================= Known DLLs (Whitelisted) ============ ========================= Bamital & volsnap Check ============ C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe [2009-07-13 15:11] - [2009-07-13 17:14] - 0259072 ____A (Microsoft Corporation) A302BBFF2A7278C0E239EE5D471D86A9 C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit ==================== EXE ASSOCIATION ===================== HKLM\...\.exe: exefile => OK HKLM\...\exefile\DefaultIcon: %1 => OK HKLM\...\exefile\open\command: "%1" %* => OK ========================= Memory info ====================== Percentage of memory in use: 15% Total physical RAM: 3036.61 MB Available physical RAM: 2580.64 MB Total Pagefile: 3032.83 MB Available Pagefile: 2587.86 MB Total Virtual: 2047.88 MB Available Virtual: 1970.31 MB ======================= Partitions ========================= 1 Drive c: () (Fixed) (Total:141.49 GB) (Free:74.36 GB) NTFS 2 Drive e: () (Fixed) (Total:141.5 GB) (Free:24.73 GB) NTFS 3 Drive f: (RECOVERY) (Fixed) (Total:15 GB) (Free:3.37 GB) NTFS 5 Drive h: () (Removable) (Total:7.31 GB) (Free:7.31 GB) FAT32 6 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS 7 Drive y: (SYSTEM) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)] Disk ### Status Size Free Dyn Gpt -------- ------------- ------- ------- --- --- Disk 0 Online 298 GB 0 B Disk 1 Online 7500 MB 0 B Partitions of Disk 0: =============== Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 Recovery 15 GB 1024 KB Partition 2 Primary 100 MB 15 GB Partition 3 Primary 141 GB 15 GB Partition 4 Primary 141 GB 156 GB ====================================================================================================== Disk: 0 Partition 1 Type : 27 Hidden: Yes Active: No Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 4 F RECOVERY NTFS Partition 15 GB Healthy Hidden ====================================================================================================== Disk: 0 Partition 2 Type : 07 Hidden: No Active: Yes Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 1 Y SYSTEM NTFS Partition 100 MB Healthy ====================================================================================================== Disk: 0 Partition 3 Type : 07 Hidden: No Active: No Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 2 C NTFS Partition 141 GB Healthy ====================================================================================================== Disk: 0 Partition 4 Type : 07 Hidden: No Active: No Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 3 E NTFS Partition 141 GB Healthy ====================================================================================================== Partitions of Disk 1: =============== Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 Primary 7499 MB 31 KB ====================================================================================================== Disk: 1 Partition 1 Type : 0B Hidden: No Active: Yes Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 5 H FAT32 Removable 7499 MB Healthy ====================================================================================================== ========================================================== Last Boot: 2012-06-17 23:05 ======================= End Of Log ========================== |
|
18.06.2012, 12:48
| #8 |
| /// Malwareteam | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ Sirefef funkt uns dazwischen, den müssen wir auf anderem Wege killen, bevor es weitergeht! Suche mit FRST Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
Klicke auf search - das Tool erstellt eine search.txt auf deinem Stick. Poste den Inhalt bitte hier.
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
18.06.2012, 14:11
| #9 |
| | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ hier die search.txt Code:
ATTFilter Farbar Recovery Scan Tool Version: 17-06-2012 02
Ran by SYSTEM at 2012-06-18 15:04:33
Running from H:\
================== Search: "services.exe" ===================
C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe
[2009-07-13 15:11] - [2009-07-13 17:14] - 0259072 ____A (Microsoft Corporation) 5F1B6A9C35D3D5CA72D6D6FDEF9747D6
C:\Windows\System32\services.exe
[2009-07-13 15:11] - [2009-07-13 17:14] - 0259072 ____A (Microsoft Corporation) A302BBFF2A7278C0E239EE5D471D86A9
=== End Of Search ===
|
|
19.06.2012, 22:02
| #10 | |
| /// Malwareteam | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ Schritt 1: Fix mit FRST Drücke bitte die  + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}
replace: C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe C:\Windows\System32\services.exe
Starte Windows! Schritt 2: Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Schritt 3: FSS Downloade dir bitte Farbar's Service Scanner
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
20.06.2012, 08:38
| #11 |
| | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ jooh da bin ich wieder. hier die logfils Fixlog.txt Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) Version: 17-06-2012 02
Ran by SYSTEM at 2012-06-20 09:05:24 Run:1
Running from H:\
==============================================
C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627} moved successfully.
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627} moved successfully.
C:\Windows\System32\services.exe moved successfully.
C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe copied successfully to C:\Windows\System32\services.exe
==== End of Fixlog ====
Code:
ATTFilter Combofix Logfile: Combofix Logfile: Code:
ATTFilter Farbar Service Scanner Version: 19-06-2012 01
Ran by Myri (administrator) on 20-06-2012 at 09:37:26
Running from "C:\Users\Myri\Desktop"
Microsoft Windows 7 Home Premium Service Pack 1 (X86)
Boot Mode: Normal
****************************************************************
Internet Services:
============
Dnscache Service is not running. Checking service configuration:
The start type of Dnscache service is set to Disabled. The default start type is Auto.
The ImagePath of Dnscache service is OK.
The ServiceDll of Dnscache service is OK.
Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.
Windows Firewall:
=============
Firewall Disabled Policy:
==================
System Restore:
============
System Restore Disabled Policy:
========================
File Check:
========
C:\windows\system32\nsisvc.dll => MD5 is legit
C:\windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\windows\system32\dhcpcore.dll => MD5 is legit
C:\windows\system32\Drivers\afd.sys => MD5 is legit
C:\windows\system32\Drivers\tdx.sys => MD5 is legit
C:\windows\system32\Drivers\tcpip.sys => MD5 is legit
C:\windows\system32\dnsrslvr.dll => MD5 is legit
C:\windows\system32\mpssvc.dll => MD5 is legit
C:\windows\system32\bfe.dll => MD5 is legit
C:\windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\windows\system32\SDRSVC.dll => MD5 is legit
C:\windows\system32\vssvc.exe => MD5 is legit
C:\windows\system32\svchost.exe => MD5 is legit
C:\windows\system32\rpcss.dll => MD5 is legit
**** End of log ****
|
|
20.06.2012, 09:24
| #12 |
| /// Malwareteam | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ Sachte ich doch!  CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter dirlook::
c:\users\Myri\AppData\Roaming\Ogatqi
Filelook::
c:\windows\system32\qdvd.dll
c:\windows\system32\drivers\xbeutr.sys
Wichtig:
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
20.06.2012, 10:14
| #13 |
| | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ Marius nachdem Combofix durchlief hatte ich keinen zugriff auf z.b. Windows Explorer oder eine Notepad Datei die am Desktop lag. Erst nach Systemneustart ist dies wieder möglich und die combofix txt ist zu kopieren. Mfg Mafio Combofix.txt Code:
ATTFilter ComboFix 12-06-19.03 - Myri 20.06.2012 10:35:00.2.2 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3037.2024 [GMT 2:00]
ausgeführt von:: c:\users\Myri\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Myri\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-05-20 bis 2012-06-20 ))))))))))))))))))))))))))))))
.
.
2012-06-20 08:40 . 2012-06-20 08:40 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-06-20 07:16 . 2012-06-20 07:16 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\offreg.dll
2012-06-20 06:32 . 2012-06-20 06:57 -------- d-----w- c:\users\Myri\AppData\Roaming\Ogatqi
2012-06-20 05:55 . 2012-05-31 03:41 6762896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\mpengine.dll
2012-06-18 20:28 . 2012-06-18 20:29 -------- d-----w- C:\FRST
2012-06-17 18:27 . 2012-05-21 02:09 80824 ----a-w- c:\windows\system32\drivers\ssudbus.sys
2012-06-17 18:27 . 2012-05-21 02:09 181432 ----a-w- c:\windows\system32\drivers\ssudserd.sys
2012-06-17 18:27 . 2012-05-21 02:09 181432 ----a-w- c:\windows\system32\drivers\ssudmdm.sys
2012-06-16 13:50 . 2012-05-04 09:59 514560 ----a-w- c:\windows\system32\qdvd.dll
2012-06-15 15:39 . 2012-06-15 15:39 -------- d-----w- c:\users\Myri\AppData\Roaming\Avira
2012-06-15 15:37 . 2012-04-27 08:20 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-06-15 15:37 . 2012-04-24 22:32 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-06-15 15:37 . 2012-04-16 19:18 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-06-15 15:36 . 2012-06-15 15:36 -------- d-----w- c:\programdata\Avira
2012-06-15 15:36 . 2012-06-15 15:36 -------- d-----w- c:\program files\Avira
2012-06-13 13:57 . 2012-06-13 13:57 -------- d-sh--w- c:\windows\system32\%APPDATA%
2012-06-13 05:58 . 2012-04-28 03:17 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-13 05:56 . 2012-04-07 11:26 2342400 ----a-w- c:\windows\system32\msi.dll
2012-06-13 05:56 . 2012-05-15 01:05 2343936 ----a-w- c:\windows\system32\win32k.sys
2012-06-13 05:56 . 2012-04-26 04:45 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-06-13 05:56 . 2012-04-26 04:45 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-06-13 05:56 . 2012-04-26 04:41 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-06-13 05:56 . 2012-05-01 04:44 164352 ----a-w- c:\windows\system32\profsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36 140288 ----a-w- c:\windows\system32\cryptsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36 1158656 ----a-w- c:\windows\system32\crypt32.dll
2012-06-13 05:56 . 2012-04-24 04:36 103936 ----a-w- c:\windows\system32\cryptnet.dll
2012-06-08 19:27 . 2012-06-08 19:27 54016 ----a-w- c:\windows\system32\drivers\xbeutr.sys
2012-06-08 12:15 . 2012-06-08 12:15 -------- d-----w- c:\users\Myri\AppData\Roaming\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14 -------- d-----w- c:\programdata\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-06-08 12:14 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-15 15:30 . 2012-04-10 06:56 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-06-15 15:30 . 2011-05-15 07:37 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-29 07:38 . 2011-01-29 16:00 330240 ----a-w- c:\windows\MASetupCaller.dll
2012-03-31 04:39 . 2012-05-09 06:11 3968368 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-03-31 04:39 . 2012-05-09 06:11 3913072 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-30 10:23 . 2012-05-09 06:11 1291632 ----a-w- c:\windows\system32\drivers\tcpip.sys
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\drivers\xbeutr.sys ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File size: 54016
Created time: 2012-06-08 19:27
Modified time: 2012-06-08 19:27
MD5: E6D35F3AA51A65EB35C1F2340154A25E
SHA1: AABBD57E20D2E7041F9E7ABCE6CFD8A53C366537
.
.
--- c:\windows\system32\qdvd.dll ---
Company: Microsoft Corporation
File Description: Laufzeitbibliothek für DirectShow DVD PlayBack
File Version: 6.6.7600.16385 (win7_rtm.090713-1255)
Product Name: Betriebssystem Microsoft® Windows®
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename: Qdvd.dll.mui
File size: 514560
Created time: 2012-06-16 13:50
Modified time: 2012-05-04 09:59
MD5: 33B26FA5DBEB69FFAB703EDCB4E6DE4A
SHA1: 49F386066867328FB38A2E09231A7D7C5744CD6F
.
---- Directory of c:\users\Myri\AppData\Roaming\Ogatqi ----
.
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesPDLR"="c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-06-08 21432]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-04-05 17356424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-04-20 2327552]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R2 ICM_UpdaterService;ICM_UpdaterService Disp;c:\program files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe [2011-03-18 204883]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2012-04-05 158856]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-15 257224]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2012-05-21 80824]
R3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\DRIVERS\massfilter.sys [2009-04-09 7680]
R3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-06-02 121064]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-06-02 12776]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-06-02 136808]
R3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2012-05-21 181432]
R3 ssudserd;SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudserd.sys [2012-05-21 181432]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2009-04-09 110592]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-04-09 105344]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-04-16 36000]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2009-05-28 10752]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2012-05-01 86224]
S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [2012-03-19 2666880]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-04-20 9216]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-09-07 123496]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-09-28 315392]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 15:30]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
TCP: DhcpNameServer = 192.168.2.1
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-06-20 10:42:42
ComboFix-quarantined-files.txt 2012-06-20 08:42
ComboFix2.txt 2012-06-20 07:29
.
Vor Suchlauf: 19 Verzeichnis(se), 79.057.285.120 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 78.880.870.400 Bytes frei
.
- - End Of File - - 4094FAFFF59045FF38E20C0CAA1C9AC1
|
|
20.06.2012, 10:37
| #14 |
| /// Malwareteam | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ Ich weiß - das gibt sich nach einem Neustart wieder! Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter FILE::
c:\windows\system32\drivers\xbeutr.sys
FOLDER::
c:\users\Myri\AppData\Roaming\Ogatqi
CLEARJAVACACHE::
Wichtig:
Schritt 2: MBAM Downloade Dir bitte Malwarebytes
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
20.06.2012, 13:39
| #15 |
| | Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{Code:
ATTFilter ComboFix 12-06-19.03 - Myri 20.06.2012 11:48:22.3.2 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3037.2157 [GMT 2:00]
ausgeführt von:: c:\users\Myri\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Myri\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\system32\drivers\xbeutr.sys"
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Myri\AppData\Local\Temp\26b4a1dd-e07b-48af-be4e-9642b273284b\CliSecureRT.dll
c:\users\Myri\AppData\Roaming\Ogatqi
c:\windows\system32\drivers\xbeutr.sys
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-05-20 bis 2012-06-20 ))))))))))))))))))))))))))))))
.
.
2012-06-20 09:54 . 2012-06-20 09:54 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-06-20 07:16 . 2012-06-20 09:54 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\offreg.dll
2012-06-20 05:55 . 2012-05-31 03:41 6762896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\mpengine.dll
2012-06-18 20:28 . 2012-06-18 20:29 -------- d-----w- C:\FRST
2012-06-17 18:27 . 2012-05-21 02:09 80824 ----a-w- c:\windows\system32\drivers\ssudbus.sys
2012-06-17 18:27 . 2012-05-21 02:09 181432 ----a-w- c:\windows\system32\drivers\ssudserd.sys
2012-06-17 18:27 . 2012-05-21 02:09 181432 ----a-w- c:\windows\system32\drivers\ssudmdm.sys
2012-06-16 13:50 . 2012-05-04 09:59 514560 ----a-w- c:\windows\system32\qdvd.dll
2012-06-15 15:39 . 2012-06-15 15:39 -------- d-----w- c:\users\Myri\AppData\Roaming\Avira
2012-06-15 15:37 . 2012-04-27 08:20 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-06-15 15:37 . 2012-04-24 22:32 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-06-15 15:37 . 2012-04-16 19:18 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-06-15 15:36 . 2012-06-15 15:36 -------- d-----w- c:\programdata\Avira
2012-06-15 15:36 . 2012-06-15 15:36 -------- d-----w- c:\program files\Avira
2012-06-13 13:57 . 2012-06-13 13:57 -------- d-sh--w- c:\windows\system32\%APPDATA%
2012-06-13 05:58 . 2012-04-28 03:17 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-13 05:56 . 2012-04-07 11:26 2342400 ----a-w- c:\windows\system32\msi.dll
2012-06-13 05:56 . 2012-05-15 01:05 2343936 ----a-w- c:\windows\system32\win32k.sys
2012-06-13 05:56 . 2012-04-26 04:45 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-06-13 05:56 . 2012-04-26 04:45 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-06-13 05:56 . 2012-04-26 04:41 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-06-13 05:56 . 2012-05-01 04:44 164352 ----a-w- c:\windows\system32\profsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36 140288 ----a-w- c:\windows\system32\cryptsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36 1158656 ----a-w- c:\windows\system32\crypt32.dll
2012-06-13 05:56 . 2012-04-24 04:36 103936 ----a-w- c:\windows\system32\cryptnet.dll
2012-06-08 12:15 . 2012-06-08 12:15 -------- d-----w- c:\users\Myri\AppData\Roaming\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14 -------- d-----w- c:\programdata\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-06-08 12:14 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-15 15:30 . 2012-04-10 06:56 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-06-15 15:30 . 2011-05-15 07:37 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-29 07:38 . 2011-01-29 16:00 330240 ----a-w- c:\windows\MASetupCaller.dll
2012-03-31 04:39 . 2012-05-09 06:11 3968368 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-03-31 04:39 . 2012-05-09 06:11 3913072 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-30 10:23 . 2012-05-09 06:11 1291632 ----a-w- c:\windows\system32\drivers\tcpip.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesPDLR"="c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-06-08 21432]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-04-05 17356424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-04-20 2327552]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R2 ICM_UpdaterService;ICM_UpdaterService Disp;c:\program files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe [2011-03-18 204883]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2012-04-05 158856]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-15 257224]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2012-05-21 80824]
R3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\DRIVERS\massfilter.sys [2009-04-09 7680]
R3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-06-02 121064]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-06-02 12776]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-06-02 136808]
R3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2012-05-21 181432]
R3 ssudserd;SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudserd.sys [2012-05-21 181432]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2009-04-09 110592]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-04-09 105344]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-04-16 36000]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2009-05-28 10752]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2012-05-01 86224]
S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [2012-03-19 2666880]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-04-20 9216]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-09-07 123496]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-09-28 315392]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 15:30]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
TCP: DhcpNameServer = 192.168.2.1
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\Display\NvXDSync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\taskhost.exe
c:\program files\Samsung\Samsung Update Plus\SUPBackground.exe
c:\program files\Samsung\Samsung Support Center\SSCKbdHk.exe
c:\program files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
c:\program files\AnyPC Client\APLanMgrC.exe
c:\windows\system32\conhost.exe
c:\windows\system32\DllHost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-20 12:16:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-06-20 10:16
ComboFix2.txt 2012-06-20 08:42
ComboFix3.txt 2012-06-20 07:29
.
Vor Suchlauf: 19 Verzeichnis(se), 78.954.086.400 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 78.470.582.272 Bytes frei
.
- - End Of File - - 42FD1EE7007B3B81C439D635803DFF24
Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.20.02 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Myri :: MYRI-PC [Administrator] 20.06.2012 12:18:08 mbam-log-2012-06-20 (12-18-08).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 353289 Laufzeit: 2 Stunde(n), 15 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Qoobox\Quarantine\C\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@.vir (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
|
| Themen zu Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ |
| .dll, 80000000.@, 800000cb.@, administrator, alternate, antivir, chip.de, dateien, dateisystem, desktop, device driver, escan, explorer, explorer.exe, google earth, heuristiks/extra, heuristiks/shuriken, iexplore.exe, locker, logfile, lsass.exe, maleware, malware, microsoft office word, namen, nt.dll, office 2007, origin, plug-in, popup, programm, regcleaner, richtlinie, schutz, searchscopes, seiten, services.exe, svchost.exe, taskhost.exe, temp, tr.atraps.gen2, trojaner, version=1.0, vodafone, windows, winlogon.exe, youtube downloader |
Linear-Darstellung
