Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.06.2012, 19:11   #1
slyder
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Hallo Forum
Mein Antivir entdeckt so ca am 5. oder 6. Juni beim Scan
den Trojaner im verzeichniss C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@.
Heute entdeckte Antivir im gleichen Verzeichniss den Tr.ATRAPS.Gen2 und TR/Sirefef.AG.35

Anti Maleware entdeckte:
Trojan.Sirefef und den Rootkit.0Access im Verzeichniss C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@'

Begonnen hat das ganze nachdem ich auf Chip.de war und dort zwei seiten sein popup aufging mit der Meldung das mein Onlinevirenschutz unzureichend währe und ein "Onlinescan Norton" dies festgestellt hätte. Bevor ich etwas weiteres klickte schaute ich im Antivir nach und dort war der Onlineschutz als unzureichend eingestuft. Gutgläubig stimmte ich eine Onlinescan zu, brach dies jedoch sofort wieder ab da sofort nach dem Klick das Firmenlogo blass bis milchig dargestellt wurde.

Mittlerweile habe ich etliche Antivir Scans auch im abgesicherten Modus durchgeführt was nur erfolg hat solang ich nicht online gehe.
Ich habe erfolglos den Regcleaner probiert und diesen wieder deinstalliert.
Nun hab ich eine aktuelle Antivir Version mit Virendefinition vom 13.06.2012 installiert und Löschen- und Karantäneversuche war auch wieder erfolglos.
file zutage.

Anti Malware Logfile :

Code:
ATTFilter
 
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.13.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
My :: MY-PC [Administrator]

14.06.2012 14:44:11
mbam-log-2012-06-14 (14-44-11).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 361805
Laufzeit: 1 Stunde(n), 37 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         



Antivir Logfile:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 14. Juni 2012  19:04

Es wird nach 3831985 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYStEMM
Computername   : MY-PC

Versionsinformationen:
BUILD.DAT      : 10.2.0.703     35935 Bytes  29.08.2011 16:10:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  21.07.2011 10:08:11
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  21.07.2011 10:10:57
LUKE.DLL       : 10.3.0.5       45416 Bytes  21.07.2011 10:09:32
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 12:22:40
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  21.07.2011 10:08:11
AVREG.DLL      : 10.3.0.9       90472 Bytes  21.07.2011 10:08:05
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 05:52:59
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 15:17:06
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 15:17:44
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 15:18:20
VBASE005.VDF   : 7.11.29.136  2166272 Bytes  10.05.2012 15:18:38
VBASE006.VDF   : 7.11.29.137     2048 Bytes  10.05.2012 15:18:38
VBASE007.VDF   : 7.11.29.138     2048 Bytes  10.05.2012 15:18:38
VBASE008.VDF   : 7.11.29.139     2048 Bytes  10.05.2012 15:18:38
VBASE009.VDF   : 7.11.29.140     2048 Bytes  10.05.2012 15:18:38
VBASE010.VDF   : 7.11.29.141     2048 Bytes  10.05.2012 15:18:38
VBASE011.VDF   : 7.11.29.142     2048 Bytes  10.05.2012 15:18:38
VBASE012.VDF   : 7.11.29.143     2048 Bytes  10.05.2012 15:18:38
VBASE013.VDF   : 7.11.29.144     2048 Bytes  10.05.2012 15:18:38
VBASE014.VDF   : 7.11.30.3     198144 Bytes  14.05.2012 15:18:40
VBASE015.VDF   : 7.11.30.69    186368 Bytes  17.05.2012 15:18:41
VBASE016.VDF   : 7.11.30.143   223744 Bytes  21.05.2012 15:18:43
VBASE017.VDF   : 7.11.30.207   287744 Bytes  23.05.2012 15:18:46
VBASE018.VDF   : 7.11.31.57    188416 Bytes  28.05.2012 15:18:47
VBASE019.VDF   : 7.11.31.111   214528 Bytes  30.05.2012 15:18:49
VBASE020.VDF   : 7.11.31.151   116736 Bytes  31.05.2012 15:18:50
VBASE021.VDF   : 7.11.31.205   134144 Bytes  03.06.2012 15:18:51
VBASE022.VDF   : 7.11.32.9     169472 Bytes  05.06.2012 15:18:53
VBASE023.VDF   : 7.11.32.85    155648 Bytes  08.06.2012 15:18:54
VBASE024.VDF   : 7.11.32.133   127488 Bytes  11.06.2012 15:18:55
VBASE025.VDF   : 7.11.32.171   182784 Bytes  12.06.2012 15:18:57
VBASE026.VDF   : 7.11.32.172     2048 Bytes  12.06.2012 15:18:57
VBASE027.VDF   : 7.11.32.173     2048 Bytes  12.06.2012 15:18:57
VBASE028.VDF   : 7.11.32.174     2048 Bytes  12.06.2012 15:18:57
VBASE029.VDF   : 7.11.32.175     2048 Bytes  12.06.2012 15:18:57
VBASE030.VDF   : 7.11.32.176     2048 Bytes  12.06.2012 15:18:57
VBASE031.VDF   : 7.11.32.194    28672 Bytes  13.06.2012 15:18:58
Engineversion  : 8.2.10.80 
AEVDF.DLL      : 8.1.2.8       106867 Bytes  13.06.2012 15:19:32
AESCRIPT.DLL   : 8.1.4.24      450939 Bytes  13.06.2012 15:19:31
AESCN.DLL      : 8.1.8.2       131444 Bytes  13.06.2012 15:19:29
AESBX.DLL      : 8.2.5.10      606580 Bytes  13.06.2012 15:19:36
AERDL.DLL      : 8.1.9.15      639348 Bytes  13.06.2012 15:19:29
AEPACK.DLL     : 8.2.16.16     807288 Bytes  13.06.2012 15:19:25
AEOFFICE.DLL   : 8.1.2.28      201082 Bytes  13.06.2012 15:19:21
AEHEUR.DLL     : 8.1.4.36     4874615 Bytes  13.06.2012 15:19:20
AEHELP.DLL     : 8.1.21.0      254326 Bytes  13.06.2012 15:19:03
AEGEN.DLL      : 8.1.5.28      422260 Bytes  13.06.2012 15:19:02
AEEXP.DLL      : 8.1.0.44       82293 Bytes  13.06.2012 15:19:37
AEEMU.DLL      : 8.1.3.0       393589 Bytes  21.04.2011 05:52:17
AECORE.DLL     : 8.1.25.10     201080 Bytes  13.06.2012 15:19:00
AEBB.DLL       : 8.1.1.0        53618 Bytes  21.04.2011 05:52:16
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  21.04.2011 05:52:39
AVPREF.DLL     : 10.0.3.2       44904 Bytes  21.07.2011 10:08:05
AVREP.DLL      : 10.0.0.10     174120 Bytes  21.07.2011 10:08:06
AVARKT.DLL     : 10.0.26.1     255336 Bytes  21.07.2011 10:07:41
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  21.07.2011 10:07:59
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  21.07.2011 13:12:30
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  21.04.2011 05:52:38
NETNT.DLL      : 10.0.0.0       11624 Bytes  21.04.2011 05:52:50
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  21.07.2011 10:11:03
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ffb0758\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 14. Juni 2012  19:04

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileConnect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WCScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'APLanMgrC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSCKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvXDSync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\800000cb.@'
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '556ab48c.qua' verschoben!
Beginne mit der Suche in 'C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@'
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.AG.35
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dfd9b2b.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 14. Juni 2012  19:04
Benötigte Zeit: 00:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     62 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     60 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
         
Gruß Slyder

Defrogger:

Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:16 on 14/06/2012 (Myri)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         
OTL.txt

Code:
ATTFilter
TL logfile created on: 6/14/2012 7:24:55 PM - Run 1
OTL by OldTimer - Version 3.2.48.0     Folder = C:\Users\Myri\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.97 Gb Total Physical Memory | 1.91 Gb Available Physical Memory | 64.46% Memory free
5.93 Gb Paging File | 4.85 Gb Available in Paging File | 81.82% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 141.49 Gb Total Space | 67.76 Gb Free Space | 47.89% Space Free | Partition Type: NTFS
Drive D: | 141.50 Gb Total Space | 24.73 Gb Free Space | 17.48% Space Free | Partition Type: NTFS
 
Computer Name: MYRI-PC | User Name: Myri | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012/06/14 19:23:38 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Myri\Desktop\OTL.exe
PRC - [2012/03/19 13:38:46 | 002,666,880 | ---- | M] (TeamViewer GmbH) -- C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe
PRC - [2012/01/03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2011/07/21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2011/06/24 06:22:20 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2011/04/21 07:53:10 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011/04/21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2011/04/21 07:52:36 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011/02/25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010/11/20 14:17:47 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2010/10/16 13:42:38 | 000,792,680 | ---- | M] (NVIDIA Corporation) -- C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe
PRC - [2010/01/19 11:34:48 | 002,201,192 | ---- | M] (SEC) -- C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
PRC - [2009/11/04 06:11:48 | 000,835,072 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
PRC - [2009/10/26 13:53:14 | 000,091,136 | ---- | M] (SAMSUNG Electronics) -- C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe
PRC - [2009/10/20 11:13:00 | 000,079,360 | ---- | M] (DoctorSoft) -- C:\Program Files\AnyPC Client\APLanMgrC.exe
PRC - [2009/10/13 12:03:04 | 000,716,800 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
PRC - [2009/04/20 18:20:40 | 002,327,552 | ---- | M] (Vodafone) -- C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
PRC - [2009/04/20 18:20:30 | 000,009,216 | ---- | M] (Vodafone) -- C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012/06/13 17:13:13 | 000,212,992 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\69ca4a43ba14b66689715ad62aed70e6\System.ServiceProcess.ni.dll
MOD - [2012/06/13 17:12:32 | 012,436,480 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\7b7fbe651c6e72f12099a298654c9594\System.Windows.Forms.ni.dll
MOD - [2012/06/13 17:12:22 | 001,591,808 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\6bb439b3f87736d3248ae27d43e2c0d6\System.Drawing.ni.dll
MOD - [2012/05/10 07:26:48 | 001,051,136 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Management\9b2f17fb61b7197f2a04108f5d1a1cc6\System.Management.ni.dll
MOD - [2012/05/10 07:13:20 | 000,771,584 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\03dee80574f4ec770b6f77ca030ded6c\System.Runtime.Remoting.ni.dll
MOD - [2012/05/10 07:13:16 | 000,627,200 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Transactions\80fae9f16f80075535e72458ef293f7a\System.Transactions.ni.dll
MOD - [2012/05/10 07:13:15 | 006,611,456 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Data\f3814b488d9e083cbbc623e01b389f09\System.Data.ni.dll
MOD - [2012/05/10 07:11:18 | 000,680,448 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Security\054fcff18035c210487b0888e6461192\System.Security.ni.dll
MOD - [2012/05/10 07:11:09 | 005,452,800 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Xml\ba3d70b651454c7d49b407b93663bfed\System.Xml.ni.dll
MOD - [2012/05/10 07:10:57 | 000,971,264 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\cfa9c506bfb9254c89dace7b83bc9f9d\System.Configuration.ni.dll
MOD - [2012/05/10 07:10:52 | 007,967,232 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System\ce9ff6baf9053ed2ed673d948179195c\System.ni.dll
MOD - [2012/05/10 07:10:17 | 011,492,864 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\mscorlib\acfc1391e45fedd2a359778ea57d914c\mscorlib.ni.dll
MOD - [2010/11/13 02:02:22 | 000,434,176 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Windows.Forms.resources\2.0.0.0_de_b77a5c561934e089\System.Windows.Forms.resources.dll
MOD - [2010/11/13 02:02:21 | 000,315,392 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
MOD - [2010/11/05 03:58:05 | 002,927,616 | ---- | M] () -- C:\windows\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll
MOD - [2009/07/14 03:15:45 | 000,364,544 | ---- | M] () -- C:\Windows\System32\msjetoledb40.dll
MOD - [2009/06/10 23:23:19 | 000,261,632 | ---- | M] () -- C:\windows\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll
MOD - [2006/08/12 05:48:40 | 000,049,152 | ---- | M] () -- C:\Program Files\Samsung\Easy Display Manager\HookDllPS2.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/05/05 18:44:04 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/04/05 11:37:38 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/03/19 13:38:46 | 002,666,880 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7)
SRV - [2012/01/03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011/07/21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/03/18 19:06:54 | 000,204,883 | ---- | M] () [Auto | Stopped] -- C:\Program Files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe -- (ICM_UpdaterService)
SRV - [2009/07/14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/04/20 18:20:30 | 000,009,216 | ---- | M] (Vodafone) [Auto | Running] -- C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe -- (VMCService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Myri\AppData\Local\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - [2012/06/14 19:01:02 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\egxlnsjw.sys -- (imbxr)
DRV - [2012/02/24 11:14:42 | 000,181,432 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssudserd.sys -- (ssudserd) SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.)
DRV - [2012/02/24 11:14:42 | 000,181,432 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssudmdm.sys -- (ssudmdm) SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.)
DRV - [2012/02/24 11:14:42 | 000,080,824 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssudbus.sys -- (dg_ssudbus) SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.)
DRV - [2011/08/05 11:02:46 | 002,203,648 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2011/07/21 12:11:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/21 12:11:11 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/06/02 07:47:22 | 000,136,808 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdm.sys -- (ssadmdm)
DRV - [2011/06/02 07:47:22 | 000,121,064 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadbus.sys -- (ssadbus) SAMSUNG Android USB Composite Device driver (WDM)
DRV - [2011/06/02 07:47:22 | 000,012,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdfl.sys -- (ssadmdfl) SAMSUNG Android USB Modem (Filter)
DRV - [2010/12/21 07:55:02 | 000,132,424 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdmdm.sys -- (sscdmdm)
DRV - [2010/12/21 07:55:02 | 000,123,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_mdm.sys -- (ss_mdm)
DRV - [2010/12/21 07:55:02 | 000,104,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdbus.sys -- (sscdbus) SAMSUNG USB Composite Device driver (WDM)
DRV - [2010/12/21 07:55:02 | 000,098,560 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bus.sys -- (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM)
DRV - [2010/12/21 07:55:02 | 000,014,920 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdmdfl.sys -- (sscdmdfl)
DRV - [2010/12/21 07:55:02 | 000,014,848 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_mdfl.sys -- (ss_mdfl)
DRV - [2010/11/20 12:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010/11/20 11:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010/10/16 20:55:00 | 010,084,360 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2010/09/07 22:08:56 | 000,123,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA)
DRV - [2009/10/08 17:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/09/28 11:22:00 | 000,315,392 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\yk62x86.sys -- (yukonw7)
DRV - [2009/07/14 01:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
DRV - [2009/07/14 01:45:33 | 000,083,456 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\serial.sys -- (Serial)
DRV - [2009/07/14 00:02:53 | 000,657,408 | ---- | M] (Ralink Technology Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\netr28u.sys -- (netr28u)
DRV - [2009/04/09 14:38:30 | 000,110,592 | ---- | M] (ZTE Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbnet.sys -- (ZTEusbnet)
DRV - [2009/04/09 14:38:30 | 000,105,344 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\zteusbvoice.sys -- (ZTEusbvoice)
DRV - [2009/04/09 14:38:30 | 000,105,344 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - [2009/04/09 14:38:30 | 000,104,960 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - [2009/04/09 14:38:30 | 000,104,960 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - [2009/04/09 14:38:30 | 000,007,680 | R--- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\massfilter.sys -- (massfilter)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.com/?ocid=OIE9HP
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ebay.de/
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN_de___DE366
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SMSN_de___DE366
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}
IE - HKCU\..\SearchScopes\{B101856E-E75F-4D6B-B375-7ADD636BE948}: "URL" = hxxp://suche.web.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
[2012/03/06 19:24:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Myri\AppData\Roaming\mozilla\Extensions
[2012/03/06 19:24:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Myri\AppData\Roaming\mozilla\Extensions\{9bf89e93-53d1-f34c-9a65-a01404bea3a5}
 
O1 HOSTS File: ([2009/06/10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [MobileConnect] C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone)
O4 - HKCU..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe (Samsung)
O4 - HKCU..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe ()
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware  (cleanup)] C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta ()
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (QuickTime Object)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://download.divx.com/player/DivXBrowserPlugin.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx (WRC Class)
O16 - DPF: {CAFEEFAC-0015-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_17-windows-i586.cab (Java Plug-in 1.5.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D0D50155-13E7-4EF3-BF40-EADE1CE14C8C}: DhcpNameServer = 132.230.200.200
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E8A1E113-DACF-49A1-9D62-109D35F0F3EB}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{ac6e3364-1bb2-11df-b07a-002454406071}\Shell - "" = AutoRun
O33 - MountPoints2\{ac6e3364-1bb2-11df-b07a-002454406071}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/06/14 19:23:38 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Users\Myri\Desktop\OTL.exe
[2012/06/13 19:08:11 | 000,000,000 | ---D | C] -- C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board-Dateien
[2012/06/13 17:52:37 | 000,000,000 | ---D | C] -- C:\Users\Myri\AppData\Roaming\Avira
[2012/06/13 17:14:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2012/06/13 17:14:13 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\windows\System32\drivers\ssmdrv.sys
[2012/06/13 17:14:12 | 000,138,192 | ---- | C] (Avira GmbH) -- C:\windows\System32\drivers\avipbb.sys
[2012/06/13 17:14:12 | 000,066,616 | ---- | C] (Avira GmbH) -- C:\windows\System32\drivers\avgntflt.sys
[2012/06/13 17:14:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2012/06/13 17:14:12 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2012/06/13 15:57:03 | 000,000,000 | -HSD | C] -- C:\windows\System32\%APPDATA%
[2012/06/08 14:15:01 | 000,000,000 | ---D | C] -- C:\Users\Myri\AppData\Roaming\Malwarebytes
[2012/06/08 14:14:55 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012/06/08 14:14:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012/06/08 14:14:53 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys
[2012/06/08 14:14:53 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[1 C:\Users\Myri\Documents\*.tmp files -> C:\Users\Myri\Documents\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/06/14 19:23:38 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Myri\Desktop\OTL.exe
[2012/06/14 19:16:44 | 000,000,000 | ---- | M] () -- C:\Users\Myri\defogger_reenable
[2012/06/14 19:09:45 | 000,001,094 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/06/14 19:07:00 | 000,001,098 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/06/14 19:01:02 | 000,054,016 | ---- | M] () -- C:\windows\System32\drivers\egxlnsjw.sys
[2012/06/14 19:00:47 | 000,000,884 | ---- | M] () -- C:\windows\tasks\Adobe Flash Player Updater.job
[2012/06/14 19:00:42 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2012/06/14 14:46:42 | 000,014,512 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/06/14 14:46:42 | 000,014,512 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/06/14 14:39:04 | 2388,086,784 | -HS- | M] () -- C:\hiberfil.sys
[2012/06/13 19:08:14 | 000,083,820 | ---- | M] () -- C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.htm
[2012/06/13 19:06:05 | 000,302,592 | ---- | M] () -- C:\Users\Myri\Desktop\gmer.exe
[2012/06/13 19:05:16 | 000,050,477 | ---- | M] () -- C:\Users\Myri\Desktop\Defogger.exe
[2012/06/13 17:14:23 | 000,002,016 | ---- | M] () -- C:\Users\Public\Desktop\Avira AntiVir Control Center.lnk
[2012/06/13 17:10:44 | 000,428,744 | ---- | M] () -- C:\windows\System32\FNTCACHE.DAT
[2012/06/13 17:07:02 | 000,657,676 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2012/06/13 17:07:02 | 000,618,912 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2012/06/13 17:07:02 | 000,131,016 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2012/06/13 17:07:02 | 000,107,232 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2012/06/08 21:27:15 | 000,054,016 | ---- | M] () -- C:\windows\System32\drivers\xbeutr.sys
[2012/06/08 14:23:55 | 000,007,640 | ---- | M] () -- C:\Users\Myri\AppData\Local\Resmon.ResmonCfg
[2012/06/08 14:14:56 | 000,001,071 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012/06/07 08:27:06 | 000,196,608 | ---- | M] () -- C:\windows\System32\Ikeext.etl
[2 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[1 C:\Users\Myri\Documents\*.tmp files -> C:\Users\Myri\Documents\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/06/14 19:16:44 | 000,000,000 | ---- | C] () -- C:\Users\Myri\defogger_reenable
[2012/06/14 19:07:48 | 000,018,944 | ---- | C] () -- C:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\800000cb.@
[2012/06/14 19:07:47 | 000,012,288 | ---- | C] () -- C:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@
[2012/06/14 19:03:33 | 000,001,648 | ---- | C] () -- C:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@
[2012/06/14 19:01:02 | 000,054,016 | ---- | C] () -- C:\windows\System32\drivers\egxlnsjw.sys
[2012/06/13 19:08:08 | 000,083,820 | ---- | C] () -- C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.htm
[2012/06/13 19:06:05 | 000,302,592 | ---- | C] () -- C:\Users\Myri\Desktop\gmer.exe
[2012/06/13 19:05:14 | 000,050,477 | ---- | C] () -- C:\Users\Myri\Desktop\Defogger.exe
[2012/06/13 17:14:23 | 000,002,016 | ---- | C] () -- C:\Users\Public\Desktop\Avira AntiVir Control Center.lnk
[2012/06/08 21:27:15 | 000,054,016 | ---- | C] () -- C:\windows\System32\drivers\xbeutr.sys
[2012/06/08 14:14:56 | 000,001,071 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012/02/21 18:30:12 | 000,000,058 | ---- | C] () -- C:\windows\System32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
[2012/02/21 18:30:12 | 000,000,058 | ---- | C] () -- C:\Users\Myri\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat
[2012/01/10 21:15:56 | 000,002,048 | -HS- | C] () -- C:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\@
[2012/01/10 21:15:56 | 000,002,048 | -HS- | C] () -- C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}\@
[2012/01/05 12:54:04 | 000,554,496 | ---- | C] () -- C:\windows\System32\dvmsg.dll
[2011/09/11 17:16:29 | 000,120,200 | ---- | C] () -- C:\windows\System32\DLLDEV32i.dll
[2011/07/10 21:36:17 | 000,005,632 | ---- | C] () -- C:\Users\Myri\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/05/20 22:37:02 | 000,032,608 | ---- | C] () -- C:\windows\king-uninstall.exe
[2011/01/29 18:00:24 | 000,030,568 | ---- | C] () -- C:\windows\MusiccityDownload.exe
[2011/01/29 18:00:22 | 000,974,848 | ---- | C] () -- C:\windows\System32\cis-2.4.dll
[2011/01/29 18:00:22 | 000,081,920 | ---- | C] () -- C:\windows\System32\issacapi_bs-2.3.dll
[2011/01/29 18:00:22 | 000,065,536 | ---- | C] () -- C:\windows\System32\issacapi_pe-2.3.dll
[2011/01/29 18:00:22 | 000,057,344 | ---- | C] () -- C:\windows\System32\issacapi_se-2.3.dll
[2010/12/04 13:03:01 | 000,015,873 | ---- | C] () -- C:\windows\System32\Inetde.dll
[2010/07/29 19:51:37 | 000,007,640 | ---- | C] () -- C:\Users\Myri\AppData\Local\Resmon.ResmonCfg
[2010/06/15 20:09:11 | 000,000,200 | ---- | C] () -- C:\Users\Myri\AppData\Roaming\wklnhst.dat
 
========== LOP Check ==========
 
[2011/02/05 15:05:19 | 000,000,000 | -HSD | M] -- C:\Users\Myri\AppData\Roaming\.#
[2011/09/10 18:43:26 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\BOM
[2011/10/20 16:06:00 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\DesktopIconForAmazon
[2012/03/06 19:24:35 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\doctronic
[2012/02/21 18:30:12 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\DonationCoder
[2011/09/11 17:17:40 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\MAGIX
[2012/01/18 12:05:36 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Opera
[2011/03/01 20:16:11 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\phonostar GmbH
[2010/12/07 17:12:08 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\PlayFirst
[2011/07/23 15:28:29 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Registry Mechanic
[2011/02/12 16:16:53 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Samsung
[2011/09/15 20:09:20 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Software Informer
[2012/04/18 19:09:53 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\TeamViewer
[2012/04/22 11:12:35 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Temp
[2010/06/15 20:09:13 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Template
[2012/06/13 16:58:26 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Tobit
[2012/03/06 19:24:35 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Verlagsgruppe Huethig Jehle Rehm
[2012/03/06 19:24:32 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Verlagsgruppe Hüthig Jehle Rehm (Verlagsgruppe Huethig Jehle Rehm)
[2010/02/17 16:38:08 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Vodafone
[2012/03/19 19:22:33 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Windows Desktop Search
[2011/08/17 21:11:12 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Windows Live Writer
[2011/02/26 21:19:44 | 000,000,000 | ---D | M] -- C:\Users\Myri\AppData\Roaming\Youtube Downloader HD
[2012/04/03 08:32:32 | 000,032,640 | ---- | M] () -- C:\windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:A42A9F39
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:4CF61E54
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:D1B5B4F1

< End of report >
         
Extra.txt

OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 6/14/2012 7:24:55 PM - Run 1
OTL by OldTimer - Version 3.2.48.0     Folder = C:\Users\Myri\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.97 Gb Total Physical Memory | 1.91 Gb Available Physical Memory | 64.46% Memory free
5.93 Gb Paging File | 4.85 Gb Available in Paging File | 81.82% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 141.49 Gb Total Space | 67.76 Gb Free Space | 47.89% Space Free | Partition Type: NTFS
Drive D: | 141.50 Gb Total Space | 24.73 Gb Free Space | 17.48% Space Free | Partition Type: NTFS
 
Computer Name: MYRI-PC | User Name: Myri | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation)
.html [@ = Opera.HTML] -- "C:\Program Files\Opera\Opera.exe" "%1"
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Opera\Opera.exe" "%1"
https [open] -- "C:\Program Files\Opera\Opera.exe" "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~3\Office12\ONENOTE.EXE "%L"
Directory [RapidShareManagerMail] -- C:\Program Files\RapidShareManager\RapidShareManager.exe -mailto  "%1" (RapidShare AG)
Directory [RapidShareManagerUpload] -- C:\Program Files\RapidShareManager\RapidShareManager.exe -sendto  "%1" (RapidShare AG)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0138F525-6C8A-333F-A105-14AE030B9A54}" = Visual C++ 9.0 CRT (x86) WinSXS MSM
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{0840B4D6-7DD1-4187-8523-E6FC0007EFB7}" = Windows Live ID-Anmelde-Assistent
"{0C485220-4029-48E7-9F27-965DA4A78D5E}" = Samsung Networking Wizard
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution 4
"{15EB20D6-5F13-41D0-BEF9-C9C44D6AC620}" = SDFormatter
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{178EE5F4-0F86-4BF0-A0D1-9790AFF409D1}" = EasyBatteryManager
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1AFA1FEF-8CF9-4A51-AC46-64FAA7F3D9E2}" = AnyPC Client
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 26
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"{2EA870FA-585F-4187-903D-CB9FFD21E2E0}" = DHTML Editing Component
"{3248F0A8-6813-11D6-A77B-00B0D0150170}" = J2SE Runtime Environment 5.0 Update 17
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{47D50190-9DAD-4FFE-9EFA-6D278B2C4810}" = MapSource Product Install
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8927E07C-97F7-4A54-88FB-D976F50DD46E}" = Turbo Lister 2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISER_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISER_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISER_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISER_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISER_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISER_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{91120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{91120000-0030-0000-0000-0000000FF1CE}_ENTERPRISER_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{994223F3-A99B-4DDD-9E1D-0190A17C6860}" = Windows Live Family Safety
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A5675A9E-F073-414A-9A04-F9BCD50459D7}" = Easy Network Manager
"{A83279FD-CA4B-4206-9535-90974DE76654}" = Apple Application Support
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver" = NVIDIA HD-Audiotreiber 1.1.9.0
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"{CCC2B140-B47A-45FA-AAE3-BD60DA41AE00}" = Samsung Support Center
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D1434266-0486-4469-B338-A60082CC04E1}" = Atheros Client Installation Program
"{D3F2FAA5-FEC4-42AA-9ABA-1F763919A2B5}" = Samsung Update Plus
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E3B99F3D-9856-482A-9048-305E28E2510C}" = Vodafone Mobile Connect Lite
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Biet-O-Matic v2.14.8" = Biet-O-Matic v2.14.8
"DesktopIconAmazon" = Desktop Icon für Amazon
"ENTERPRISER" = Microsoft Office Enterprise 2007
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"InstallShield_{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"king.com" = king.com (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Marvell Miniport Driver" = Marvell Miniport Driver
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"NoLimits Coasters Demo" = NoLimits Coasters Demo 1.55 (remove only)
"OpenAL" = OpenAL
"RapidShare Manager" = RapidShare Manager
"ScreenshotCaptor_is1" = Screenshot Captor 3.00.00
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"SystemRequirementsLab" = System Requirements Lab
"TeamViewer 7" = TeamViewer 7
"The KMPlayer" = The KMPlayer (remove only)
"Verlagsgruppe Huethig Jehle Rehm_Coll_HJR_HPVG" = Decker Verlag - Wahlleitfaden nach HPVG
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"MyFreeCodec" = MyFreeCodec
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 8/10/2011 6:36:34 AM | Computer Name = Myri-PC | Source = VMCService | ID = 0
Description = GetLoggedOnUser
 
Error - 8/10/2011 11:29:17 AM | Computer Name = Myri-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 8/10/2011 2:18:02 PM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\Samsung
 Support Center\Drv\drv2x64\KStartMem.exe.Manifest".  Die abhängige Assemblierung 
"Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 8/10/2011 3:20:08 PM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\Samsung
 Support Center\Drv\drv2x64\KStartMem.exe.Manifest".  Die abhängige Assemblierung 
"Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 8/10/2011 3:20:24 PM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\BatteryLifeExtender\Drv\SABI2x64\KStartMem.exe.Manifest".
Die
 abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 8/12/2011 3:56:42 AM | Computer Name = Myri-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 8/12/2011 8:02:39 AM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\Samsung
 Support Center\Drv\drv2x64\KStartMem.exe.Manifest".  Die abhängige Assemblierung 
"Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 8/12/2011 8:03:07 AM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\BatteryLifeExtender\Drv\SABI2x64\KStartMem.exe.Manifest".
Die
 abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 8/12/2011 8:06:56 AM | Computer Name = Myri-PC | Source = SideBySide | ID = 16842811
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft\search
 enhancement pack\search helper\sepsearchhelperie.dll". Fehler in Manifest- oder
 Richtliniendatei "c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll"
 in Zeile 2.  Ungültige XML-Syntax.
 
Error - 8/13/2011 3:43:10 AM | Computer Name = Myri-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
[ OSession Events ]
Error - 12/12/2010 7:06:03 AM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 7
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 1/31/2011 6:22:56 AM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 7
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 3/25/2011 4:12:46 AM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 10
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 4/9/2011 3:02:09 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 8
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 6/3/2011 2:12:54 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 18
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 6/3/2011 2:25:53 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 9
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 6/3/2011 2:30:48 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 4
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 7/20/2011 4:07:27 PM | Computer Name = Myri-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 25105
 seconds with 60 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" 
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuche-Ressourcenveröffentlichung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%-2147024891
 
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem
 Fehler beendet:   %%-2147024891
 
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" 
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" 
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 6/14/2012 1:23:27 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" 
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 6/14/2012 1:24:45 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" 
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 6/14/2012 1:24:45 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" 
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 6/14/2012 1:24:54 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" 
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 6/14/2012 1:24:54 PM | Computer Name = Myri-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" 
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
 
< End of report >
         
--- --- ---


[/Code]

gmer logdatei

[Code]
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-06-14 20:25:17
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD32 rev.11.0
Running: gmer.exe; Driver: C:\Users\Myri\AppData\Local\Temp\kxldypod.sys


---- System - GMER 1.0.15 ----

SSDT            93B9B84E                                                            ZwCreateSection
SSDT            93B9B853                                                            ZwSetContextThread
SSDT            93B9B7EF                                                            ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwRollbackEnlistment + 1409                            83489989 1 Byte  [06]
.text           ntoskrnl.exe!KiDispatchInterrupt + 5A2                              834A94E2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntoskrnl.exe!KeRemoveQueueEx + 14BF                                 834B087C 4 Bytes  [4E, B8, B9, 93]
.text           ntoskrnl.exe!KeRemoveQueueEx + 185F                                 834B0C1C 4 Bytes  [53, B8, B9, 93]
.text           ntoskrnl.exe!KeRemoveQueueEx + 1937                                 834B0CF4 4 Bytes  [EF, B7, B9, 93] {OUT DX, EAX; MOV BH, 0xb9; XCHG EBX, EAX}
?               System32\drivers\qkgkqnm.sys                                        Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

?               C:\windows\system32\services.exe[576] C:\windows\system32\smss.exe  image checksum mismatch; time/date stamp mismatch; unknown module: MSWSOCK.dll

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                             Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                             Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\00000049                                   halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                              rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                              rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                              rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                              rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---


das solls nun erst mal an logs gewesen sein.

Alt 15.06.2012, 07:54   #2
Psychotic
/// Malwareteam
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



CkScan


Downloade dir bitte CKScanner Wichtig: Speichere die Datei am Desktop.
  • Doppelklick auf die CKScanner.exe und klicke auf Search For Files.
  • Danach klick auf Save List To File.
  • Es wird eine Box aufpoppen was dir mitteilt das die Datei gespeichert wurde (file saved)
  • Öffne die CKFiles.txt auf deinem Desktop und poste den Inhalt hier.
__________________

__________________

Alt 15.06.2012, 12:56   #3
slyder
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Hallo PSYCHOTI
Danke für die hilfe, hoffe du sitzt noch im Büro sonst wirds erst nächste wocher weitergehen

Schönen WE an ALLE SLYDER


Logfile CKScanner
Code:
ATTFilter
CKScanner - Additional Security Risks - These are not necessarily bad
scanner sequence 3.MN.11.EMAPDU
 ----- EOF -----
         
__________________

Alt 18.06.2012, 07:51   #4
Psychotic
/// Malwareteam
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{





Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  1. Bitte arbeite alle Schritte der Reihe nach ab.
  2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!

    ...und ganz wichtig:

  7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).


Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Combofix


Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 18.06.2012, 10:30   #5
slyder
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Hallo Psychotic

Hatte Antivir und Wlan dektiviert.

Nachdem ich combofix gestartet hatte, stand es kurzzeitig bei ca. der Hälfte still. Dann ging es ganz schnell und es wurde für den Bruchteil einer Sekunde ein Fenster eingeblendet welches auf grund der kurzen Zeit nicht zu lesen war.

Eine C:\Combofix.txt Datei gibt es nicht.

Dafür wurde zwischenzeitlich ein laufwerk *B* angezeigt mit dem kompletten Inhalt meines *D* Laufwerks.

Auf c hat sich nun ein verzeichniss erstellt c:\Qoobox

Auch nach Neustart ist nichts hinzugekommen.


slyder


Alt 18.06.2012, 11:39   #6
Psychotic
/// Malwareteam
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Zitat:
Nachdem ich combofix gestartet hatte, stand es kurzzeitig bei ca. der Hälfte still. Dann ging es ganz schnell und es wurde für den Bruchteil einer Sekunde ein Fenster eingeblendet welches auf grund der kurzen Zeit nicht zu lesen war.
Auweh...


FRST


Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und starte von der CD
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !!
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".


Wähle in den Reparaturoptionen Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
__________________
--> Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{

Alt 18.06.2012, 12:45   #7
slyder
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



frst.exe lief, txt ist gespeichert und nun steht das programm wieder am auswahlfenster. Kann das nun geschloßen werden oder bleibt der Rechner nun im recovery mode, stehen oder kann das wieder verlassen werden ?

hier die frst.txt

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST written by Farbar) Version: 17-06-2012 02
Ran by SYSTEM at 18-06-2012 12:28:49
Running from H:\
Windows 7 Home Premium   (X86) OS Language: English(US) 
The current controlset is ControlSet001

========================== Registry (Whitelisted) =============

HKLM\...\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent [2327552 2009-04-20] (Vodafone)
HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-01-02] (Adobe Systems Incorporated)
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2011-10-24] (Apple Inc.)
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59240 2011-09-26] (Apple Inc.)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [348624 2012-05-01] (Avira Operations GmbH & Co. KG)
HKU\Myri\...\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2009-12-04] (Google Inc.)
HKU\Myri\...\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe /s [x]
HKU\Myri\...\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [21432 2012-06-08] ()
HKU\Myri\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [17356424 2012-04-05] (Skype Technologies S.A.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

================================ Services (Whitelisted) ==================

2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [86224 2012-05-01] (Avira Operations GmbH & Co. KG)
2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [110032 2012-05-01] (Avira Operations GmbH & Co. KG)
2 eventlog; C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted [20992 2009-07-13] (Microsoft Corporation)
3 hkmsvc; C:\Windows\System32\kmsvc.dll [71168 2010-11-20] (Microsoft Corporation)
2 ICM_UpdaterService; C:\Program Files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe [204883 2011-03-18] ()
2 RichVideo; "C:\Program Files\CyberLink\Shared files\RichVideo.exe" [247152 2009-07-07] ()
2 SkypeUpdate; "C:\Program Files\Skype\Updater\Updater.exe" [158856 2012-04-05] (Skype Technologies)
2 TeamViewer7; C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe [2666880 2012-03-19] (TeamViewer GmbH)
2 VMCService; "C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe" [9216 2009-04-20] (Vodafone)

========================== Drivers (Whitelisted) =============

2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-04-24] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-04-27] (Avira GmbH)
1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-04-16] (Avira GmbH)
3 BridgeMP; C:\Windows\System32\DRIVERS\bridge.sys [78336 2009-07-13] (Microsoft Corporation)
3 dg_ssudbus; C:\Windows\System32\DRIVERS\ssudbus.sys [80824 2012-05-20] (DEVGURU Co., LTD.(www.devguru.co.kr))
3 iirsp; C:\Windows\system32\DRIVERS\iirsp.sys [41040 2009-07-13] (Intel Corp./ICP vortex GmbH)
3 massfilter; C:\Windows\System32\DRIVERS\massfilter.sys [7680 2009-04-09] (ZTE Incorporated)
3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [657408 2009-07-13] (Ralink Technology Corp.)
1 SABI; \??\C:\windows\system32\Drivers\SABI.sys [10752 2009-05-27] (SAMSUNG ELECTRONICS)
3 ssadbus; C:\Windows\System32\DRIVERS\ssadbus.sys [121064 2011-06-01] (MCCI Corporation)
3 ssadmdfl; C:\Windows\System32\DRIVERS\ssadmdfl.sys [12776 2011-06-01] (MCCI Corporation)
3 ssadmdm; C:\Windows\System32\DRIVERS\ssadmdm.sys [136808 2011-06-01] (MCCI Corporation)
3 sscdbus; C:\Windows\System32\DRIVERS\sscdbus.sys [104648 2010-12-20] (MCCI Corporation)
3 sscdmdfl; C:\Windows\System32\DRIVERS\sscdmdfl.sys [14920 2010-12-20] (MCCI Corporation)
3 sscdmdm; C:\Windows\System32\DRIVERS\sscdmdm.sys [132424 2010-12-20] (MCCI Corporation)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
3 ssudmdm; C:\Windows\System32\DRIVERS\ssudmdm.sys [181432 2012-05-20] (DEVGURU Co., LTD.(www.devguru.co.kr))
3 ssudserd; C:\Windows\System32\DRIVERS\ssudserd.sys [181432 2012-05-20] (DEVGURU Co., LTD.(www.devguru.co.kr))
3 ss_bus; C:\Windows\System32\DRIVERS\ss_bus.sys [98560 2010-12-20] (MCCI Corporation)
3 ss_mdfl; C:\Windows\System32\DRIVERS\ss_mdfl.sys [14848 2010-12-20] (MCCI Corporation)
3 ss_mdm; C:\Windows\System32\DRIVERS\ss_mdm.sys [123776 2010-12-20] (MCCI Corporation)
3 yukonw7; C:\Windows\System32\DRIVERS\yk62x86.sys [315392 2009-09-28] ()
3 ZTEusbmdm6k; C:\Windows\System32\DRIVERS\ZTEusbmdm6k.sys [104960 2009-04-09] (ZTE Incorporated)
3 ZTEusbnet; C:\Windows\System32\DRIVERS\ZTEusbnet.sys [110592 2009-04-09] (ZTE Corporation)
3 ZTEusbnmea; C:\Windows\System32\DRIVERS\ZTEusbnmea.sys [105344 2009-04-09] (ZTE Incorporated)
3 ZTEusbser6k; C:\Windows\System32\DRIVERS\ZTEusbser6k.sys [104960 2009-04-09] (ZTE Incorporated)
3 ZTEusbvoice; C:\Windows\System32\DRIVERS\ZTEusbvoice.sys [105344 2009-04-09] (ZTE Incorporated)
3 cpuz132; \??\C:\Users\Myri\AppData\Local\Temp\cpuz132\cpuz132_x32.sys [x]
3 dgderdrv; C:\Windows\System32\drivers\dgderdrv.sys [x]

========================== NetSvcs (Whitelisted) ===========


============ One Month Created Files and Folders ==============

2012-06-18 12:28 - 2012-06-18 12:29 - 00000000 ____D C:\FRST
2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ___SD C:\32788R22FWJFW
2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ____D C:\Windows\erdnt
2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ____D C:\Qoobox
2012-06-17 22:31 - 2012-06-17 22:32 - 04560591 ____R (Swearware) C:\Users\Myri\Desktop\ComboFix.exe
2012-06-17 10:27 - 2012-05-20 18:09 - 00181432 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudserd.sys
2012-06-17 10:27 - 2012-05-20 18:09 - 00181432 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudmdm.sys
2012-06-17 10:27 - 2012-05-20 18:09 - 00080824 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudbus.sys
2012-06-17 10:16 - 2012-06-17 10:16 - 00210944 ____A C:\Users\Myri\Desktop\Schichtplan 2012.xls
2012-06-16 05:50 - 2012-05-04 01:59 - 00514560 ____A (Microsoft Corporation) C:\Windows\System32\qdvd.dll
2012-06-15 07:39 - 2012-06-15 07:39 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Avira
2012-06-15 07:37 - 2012-06-15 07:37 - 00001940 ____A C:\Users\Public\Desktop\Avira Control Center.lnk
2012-06-15 07:37 - 2012-04-27 00:20 - 00137928 ____A (Avira GmbH) C:\Windows\System32\Drivers\avipbb.sys
2012-06-15 07:37 - 2012-04-24 14:32 - 00083392 ____A (Avira GmbH) C:\Windows\System32\Drivers\avgntflt.sys
2012-06-15 07:37 - 2012-04-16 11:18 - 00036000 ____A (Avira GmbH) C:\Windows\System32\Drivers\avkmgr.sys
2012-06-15 07:37 - 2010-06-17 05:14 - 00028520 ____A (Avira GmbH) C:\Windows\System32\Drivers\ssmdrv.sys
2012-06-15 07:36 - 2012-06-15 07:36 - 00000000 ____D C:\Users\All Users\Avira
2012-06-15 07:36 - 2012-06-15 07:36 - 00000000 ____D C:\Program Files\Avira
2012-06-15 02:53 - 2012-06-15 02:53 - 00000123 ____A C:\Users\Myri\Desktop\ckfiles.txt
2012-06-15 02:47 - 2012-06-15 02:47 - 00458240 ____A () C:\Users\Myri\Desktop\CKScanner.exe
2012-06-14 10:25 - 2012-06-14 10:25 - 00003457 ____A C:\Users\Myri\Desktop\gmer.txt
2012-06-14 09:30 - 2012-06-14 09:30 - 00049106 ____A C:\Users\Myri\Desktop\Extras.Txt
2012-06-14 09:28 - 2012-06-14 09:28 - 00069044 ____A C:\Users\Myri\Desktop\OTL.Txt
2012-06-14 09:23 - 2012-06-14 09:23 - 00596480 ____A (OldTimer Tools) C:\Users\Myri\Desktop\OTL.exe
2012-06-14 09:16 - 2012-06-14 09:21 - 00000470 ____A C:\Users\Myri\Desktop\defogger_disable.log
2012-06-14 09:16 - 2012-06-14 09:16 - 00000000 ____A C:\Users\Myri\defogger_reenable
2012-06-14 04:45 - 2012-06-14 05:24 - 99218336 ____A C:\Users\Myri\Downloads\avira_free_antivirus_en.exe
2012-06-13 10:44 - 2012-06-13 10:44 - 00002670 ____A C:\Users\Myri\Desktop\maleware-log-2012-06-13 (18-48-15).txt
2012-06-13 09:08 - 2012-06-13 09:08 - 00083820 ____A C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.htm
2012-06-13 09:08 - 2012-06-13 09:08 - 00000000 ____D C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board-Dateien
2012-06-13 09:06 - 2012-06-13 09:06 - 00302592 ____A C:\Users\Myri\Desktop\gmer.exe
2012-06-13 09:05 - 2012-06-13 09:05 - 00050477 ____A C:\Users\Myri\Desktop\Defogger.exe
2012-06-13 07:08 - 2012-06-13 07:08 - 00196164 ____A C:\Windows\ntbtlog.txt
2012-06-13 07:01 - 2012-05-17 15:11 - 12314624 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-06-13 07:01 - 2012-05-17 14:48 - 09737728 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-06-13 07:01 - 2012-05-17 14:45 - 01800192 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2012-06-13 07:01 - 2012-05-17 14:36 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-06-13 07:01 - 2012-05-17 14:35 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2012-06-13 07:01 - 2012-05-17 14:35 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-06-13 07:01 - 2012-05-17 14:33 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-06-13 07:01 - 2012-05-17 14:31 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-06-13 07:01 - 2012-05-17 14:29 - 00716800 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2012-06-13 07:01 - 2012-05-17 14:29 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2012-06-13 07:01 - 2012-05-17 14:27 - 01793024 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-06-13 07:01 - 2012-05-17 14:25 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-06-13 07:01 - 2012-05-17 14:24 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-06-13 07:01 - 2012-05-17 14:20 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2012-06-13 05:57 - 2012-06-13 05:57 - 00000000 __SHD C:\Windows\System32\%APPDATA%
2012-06-12 21:58 - 2012-04-27 19:17 - 00183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-06-12 21:56 - 2012-05-14 17:05 - 02343936 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-06-12 21:56 - 2012-04-30 20:44 - 00164352 ____A (Microsoft Corporation) C:\Windows\System32\profsvc.dll
2012-06-12 21:56 - 2012-04-25 20:45 - 00129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll
2012-06-12 21:56 - 2012-04-25 20:45 - 00058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll
2012-06-12 21:56 - 2012-04-25 20:41 - 00008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe
2012-06-12 21:56 - 2012-04-23 20:36 - 01158656 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2012-06-12 21:56 - 2012-04-23 20:36 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2012-06-12 21:56 - 2012-04-23 20:36 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2012-06-12 21:56 - 2012-04-07 03:26 - 02342400 ____A (Microsoft Corporation) C:\Windows\System32\msi.dll
2012-06-08 11:36 - 2011-09-11 08:00 - 52690944 ____A C:\Windows\System32\config\software.bak
2012-06-08 11:36 - 2011-09-11 08:00 - 21495808 ____A C:\Windows\System32\config\system.bak
2012-06-08 11:36 - 2011-09-11 08:00 - 00262144 ____A C:\Windows\System32\config\security.bak
2012-06-08 11:36 - 2011-09-11 08:00 - 00262144 ____A C:\Windows\System32\config\sam.bak
2012-06-08 11:36 - 2011-09-11 08:00 - 00262144 ____A C:\Windows\System32\config\default.bak
2012-06-08 11:30 - 2012-06-18 02:05 - 00533549 ____A C:\Windows\WindowsUpdate.log
2012-06-08 11:28 - 2012-06-15 09:33 - 00010414 ____A C:\Windows\PFRO.log
2012-06-08 11:27 - 2012-06-08 11:27 - 00054016 ____A C:\Windows\System32\Drivers\xbeutr.sys
2012-06-08 11:21 - 2012-06-18 00:16 - 00002367 ____A C:\Windows\setupact.log
2012-06-08 11:21 - 2012-06-08 11:21 - 00000000 ____A C:\Windows\setuperr.log
2012-06-08 04:15 - 2012-06-08 04:15 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Malwarebytes
2012-06-08 04:14 - 2012-06-08 04:14 - 00001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2012-06-08 04:14 - 2012-06-08 04:14 - 00000000 ____D C:\Users\All Users\Malwarebytes
2012-06-08 04:14 - 2012-06-08 04:14 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2012-06-08 04:14 - 2012-04-04 05:56 - 00022344 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2012-06-08 04:12 - 2012-06-08 04:14 - 10063000 ____A (Malwarebytes Corporation                                    ) C:\Users\Myri\Downloads\mbam-setup-1.61.0.1400.exe

============ 3 Months Modified Files and Folders ===============

2012-06-18 12:29 - 2012-06-18 12:28 - 00000000 ____D C:\FRST
2012-06-18 02:05 - 2012-06-08 11:30 - 00533549 ____A C:\Windows\WindowsUpdate.log
2012-06-18 02:05 - 2011-07-13 12:45 - 00196608 ____A C:\Windows\System32\Ikeext.etl
2012-06-18 02:04 - 2009-07-26 12:06 - 01507106 ____A C:\Windows\System32\PerfStringBackup.INI
2012-06-18 01:44 - 2012-04-09 22:56 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-06-18 01:07 - 2010-02-13 12:01 - 00001098 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2012-06-18 00:24 - 2009-07-13 20:34 - 00014512 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-06-18 00:24 - 2009-07-13 20:34 - 00014512 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-06-18 00:17 - 2012-03-15 08:51 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Skype
2012-06-18 00:16 - 2012-06-08 11:21 - 00002367 ____A C:\Windows\setupact.log
2012-06-18 00:16 - 2010-02-13 12:01 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2012-06-18 00:16 - 2009-12-05 08:45 - 3184119808 __ASH C:\pagefile.sys
2012-06-18 00:16 - 2009-12-05 08:45 - 2388086784 __ASH C:\hiberfil.sys
2012-06-18 00:16 - 2009-12-05 08:45 - 00000000 __SHD C:\System Volume Information
2012-06-18 00:16 - 2009-07-13 20:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2012-06-18 00:16 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\tracing
2012-06-17 23:12 - 2010-08-15 09:14 - 00000000 ____D C:\Users\Myri\AppData\Local\ElevatedDiagnostics
2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ___SD C:\32788R22FWJFW
2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ____D C:\Windows\erdnt
2012-06-17 22:40 - 2012-06-17 22:40 - 00000000 ____D C:\Qoobox
2012-06-17 22:40 - 2009-07-13 18:37 - 00000000 ____D C:\Windows
2012-06-17 22:32 - 2012-06-17 22:31 - 04560591 ____R (Swearware) C:\Users\Myri\Desktop\ComboFix.exe
2012-06-17 10:27 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\DriverStore
2012-06-17 10:16 - 2012-06-17 10:16 - 00210944 ____A C:\Users\Myri\Desktop\Schichtplan 2012.xls
2012-06-17 10:15 - 2011-03-30 05:39 - 00000000 ___RD C:\Users\Myri\Desktop\Mario
2012-06-17 09:07 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\NDF
2012-06-16 06:05 - 2010-10-07 08:14 - 00000000 __SHD C:\Config.Msi
2012-06-15 09:33 - 2012-06-08 11:28 - 00010414 ____A C:\Windows\PFRO.log
2012-06-15 09:33 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\schemas
2012-06-15 07:39 - 2012-06-15 07:39 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Avira
2012-06-15 07:37 - 2012-06-15 07:37 - 00001940 ____A C:\Users\Public\Desktop\Avira Control Center.lnk
2012-06-15 07:36 - 2012-06-15 07:36 - 00000000 ____D C:\Users\All Users\Avira
2012-06-15 07:36 - 2012-06-15 07:36 - 00000000 ____D C:\Program Files\Avira
2012-06-15 07:36 - 2009-07-13 18:37 - 00000000 ___RD C:\Program Files
2012-06-15 07:36 - 2009-07-13 18:37 - 00000000 ___HD C:\ProgramData
2012-06-15 07:30 - 2012-04-09 22:56 - 00426184 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2012-06-15 07:30 - 2011-05-14 23:37 - 00070344 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2012-06-15 02:53 - 2012-06-15 02:53 - 00000123 ____A C:\Users\Myri\Desktop\ckfiles.txt
2012-06-15 02:47 - 2012-06-15 02:47 - 00458240 ____A () C:\Users\Myri\Desktop\CKScanner.exe
2012-06-14 23:32 - 2009-12-05 09:26 - 00000000 ____D C:\Windows\ShellNew
2012-06-14 10:25 - 2012-06-14 10:25 - 00003457 ____A C:\Users\Myri\Desktop\gmer.txt
2012-06-14 09:30 - 2012-06-14 09:30 - 00049106 ____A C:\Users\Myri\Desktop\Extras.Txt
2012-06-14 09:28 - 2012-06-14 09:28 - 00069044 ____A C:\Users\Myri\Desktop\OTL.Txt
2012-06-14 09:23 - 2012-06-14 09:23 - 00596480 ____A (OldTimer Tools) C:\Users\Myri\Desktop\OTL.exe
2012-06-14 09:21 - 2012-06-14 09:16 - 00000470 ____A C:\Users\Myri\Desktop\defogger_disable.log
2012-06-14 09:16 - 2012-06-14 09:16 - 00000000 ____A C:\Users\Myri\defogger_reenable
2012-06-14 09:16 - 2010-02-13 10:52 - 00000000 ____D C:\users\Myri
2012-06-14 05:24 - 2012-06-14 04:45 - 99218336 ____A C:\Users\Myri\Downloads\avira_free_antivirus_en.exe
2012-06-14 04:39 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\PLA
2012-06-13 12:48 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\rescache
2012-06-13 11:06 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\Microsoft.NET
2012-06-13 10:44 - 2012-06-13 10:44 - 00002670 ____A C:\Users\Myri\Desktop\maleware-log-2012-06-13 (18-48-15).txt
2012-06-13 09:08 - 2012-06-13 09:08 - 00083820 ____A C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.htm
2012-06-13 09:08 - 2012-06-13 09:08 - 00000000 ____D C:\Users\Myri\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board-Dateien
2012-06-13 09:06 - 2012-06-13 09:06 - 00302592 ____A C:\Users\Myri\Desktop\gmer.exe
2012-06-13 09:05 - 2012-06-13 09:05 - 00050477 ____A C:\Users\Myri\Desktop\Defogger.exe
2012-06-13 07:10 - 2009-07-13 20:33 - 00428744 ____A C:\Windows\System32\FNTCACHE.DAT
2012-06-13 07:08 - 2012-06-13 07:08 - 00196164 ____A C:\Windows\ntbtlog.txt
2012-06-13 07:08 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\de-DE
2012-06-13 07:07 - 2010-02-13 10:57 - 00000000 ____D C:\Users\All Users\Microsoft Help
2012-06-13 07:04 - 2010-02-13 11:48 - 56731752 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-06-13 06:59 - 2010-09-18 03:16 - 00000000 ____D C:\Program Files\TeamViewer
2012-06-13 06:58 - 2012-05-12 00:43 - 00000000 ____D C:\Program Files\TweakNow RegCleaner 2012
2012-06-13 06:58 - 2012-01-05 02:54 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Tobit
2012-06-13 05:57 - 2012-06-13 05:57 - 00000000 __SHD C:\Windows\System32\%APPDATA%
2012-06-11 09:21 - 2012-03-14 10:36 - 00000000 ____D C:\Users\Myri\Desktop\für den Fall der Fälle
2012-06-11 09:17 - 2012-03-15 01:45 - 00000000 ____D C:\Users\Myri\Desktop\Gutscheine
2012-06-11 09:02 - 2011-02-01 05:19 - 00000000 ____D C:\Users\Myri\AppData\Local\eMule
2012-06-11 09:02 - 2011-02-01 05:19 - 00000000 ____D C:\Users\All Users\eMule
2012-06-11 09:02 - 2009-12-04 15:55 - 00000000 ____D C:\Program Files\Samsung
2012-06-08 22:31 - 2012-01-10 11:15 - 00000000 __SHD C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}
2012-06-08 11:28 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\config\TxR
2012-06-08 11:27 - 2012-06-08 11:27 - 00054016 ____A C:\Windows\System32\Drivers\xbeutr.sys
2012-06-08 11:21 - 2012-06-08 11:21 - 00000000 ____A C:\Windows\setuperr.log
2012-06-08 04:23 - 2010-07-29 09:51 - 00007640 ____A C:\Users\Myri\AppData\Local\Resmon.ResmonCfg
2012-06-08 04:15 - 2012-06-08 04:15 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Malwarebytes
2012-06-08 04:14 - 2012-06-08 04:14 - 00001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2012-06-08 04:14 - 2012-06-08 04:14 - 00000000 ____D C:\Users\All Users\Malwarebytes
2012-06-08 04:14 - 2012-06-08 04:14 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2012-06-08 04:14 - 2012-06-08 04:12 - 10063000 ____A (Malwarebytes Corporation                                    ) C:\Users\Myri\Downloads\mbam-setup-1.61.0.1400.exe
2012-05-28 23:38 - 2011-01-29 08:00 - 00330240 ____A ((?)????) C:\Windows\MASetupCaller.dll
2012-05-20 18:09 - 2012-06-17 10:27 - 00181432 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudserd.sys
2012-05-20 18:09 - 2012-06-17 10:27 - 00181432 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudmdm.sys
2012-05-20 18:09 - 2012-06-17 10:27 - 00080824 ____A (DEVGURU Co., LTD.(www.devguru.co.kr)) C:\Windows\System32\Drivers\ssudbus.sys
2012-05-18 04:20 - 2010-02-13 11:08 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2012-05-17 15:11 - 2012-06-13 07:01 - 12314624 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-05-17 14:48 - 2012-06-13 07:01 - 09737728 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-05-17 14:45 - 2012-06-13 07:01 - 01800192 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2012-05-17 14:36 - 2012-06-13 07:01 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-05-17 14:35 - 2012-06-13 07:01 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2012-05-17 14:35 - 2012-06-13 07:01 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-05-17 14:33 - 2012-06-13 07:01 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-05-17 14:31 - 2012-06-13 07:01 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-05-17 14:29 - 2012-06-13 07:01 - 00716800 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2012-05-17 14:29 - 2012-06-13 07:01 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2012-05-17 14:27 - 2012-06-13 07:01 - 01793024 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-05-17 14:25 - 2012-06-13 07:01 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-05-17 14:24 - 2012-06-13 07:01 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-05-17 14:20 - 2012-06-13 07:01 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2012-05-16 00:22 - 2012-05-14 07:49 - 00035296 ____A C:\Users\Myri\Downloads\Extra_Konto_5503289068_Kontoauszug_20120104.pdf
2012-05-14 22:57 - 2012-05-12 00:27 - 00000000 ____D C:\Program Files\RegCleaner
2012-05-14 22:57 - 2012-05-01 04:12 - 00000000 ___RD C:\Program Files\Skype
2012-05-14 22:57 - 2012-05-01 04:12 - 00000000 ____D C:\Users\All Users\Skype
2012-05-14 22:57 - 2012-05-01 04:12 - 00000000 ____D C:\Program Files\Common Files\Skype
2012-05-14 22:57 - 2010-02-21 10:45 - 00000000 ____D C:\Users\Myri\Documents\Youcam
2012-05-14 22:57 - 2009-12-05 09:26 - 00000000 ____D C:\Program Files\Windows Journal
2012-05-14 22:57 - 2009-12-04 16:07 - 00000000 ____D C:\Users\All Users\WinClon
2012-05-14 22:56 - 2009-12-04 15:55 - 00000000 ____D C:\Windows\System32\Macromed
2012-05-14 22:56 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\registration
2012-05-14 17:05 - 2012-06-12 21:56 - 02343936 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-05-14 07:41 - 2012-04-27 08:39 - 00000000 ____D C:\Users\Myri\Desktop\Kroatienurlaub
2012-05-12 00:43 - 2012-05-12 00:41 - 06444392 ____A (TweakNow.com                                                ) C:\Users\Myri\Downloads\RegCleaner710.exe
2012-05-12 00:27 - 2012-05-12 00:27 - 00553687 ____A C:\Users\Myri\Downloads\RegCleaner.exe
2012-05-04 01:59 - 2012-06-16 05:50 - 00514560 ____A (Microsoft Corporation) C:\Windows\System32\qdvd.dll
2012-05-01 04:12 - 2012-05-01 04:12 - 00002505 ____A C:\Users\Public\Desktop\Skype.lnk
2012-04-30 20:44 - 2012-06-12 21:56 - 00164352 ____A (Microsoft Corporation) C:\Windows\System32\profsvc.dll
2012-04-30 08:30 - 2012-01-18 02:05 - 00000000 ____D C:\Program Files\Opera
2012-04-27 19:17 - 2012-06-12 21:58 - 00183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-04-27 00:20 - 2012-06-15 07:37 - 00137928 ____A (Avira GmbH) C:\Windows\System32\Drivers\avipbb.sys
2012-04-25 20:45 - 2012-06-12 21:56 - 00129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll
2012-04-25 20:45 - 2012-06-12 21:56 - 00058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll
2012-04-25 20:41 - 2012-06-12 21:56 - 00008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe
2012-04-24 14:32 - 2012-06-15 07:37 - 00083392 ____A (Avira GmbH) C:\Windows\System32\Drivers\avgntflt.sys
2012-04-23 20:36 - 2012-06-12 21:56 - 01158656 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2012-04-23 20:36 - 2012-06-12 21:56 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2012-04-23 20:36 - 2012-06-12 21:56 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2012-04-18 09:09 - 2010-09-18 03:16 - 00000000 ____D C:\Users\Myri\AppData\Roaming\TeamViewer
2012-04-16 11:18 - 2012-06-15 07:37 - 00036000 ____A (Avira GmbH) C:\Windows\System32\Drivers\avkmgr.sys
2012-04-09 23:30 - 2011-04-06 09:54 - 00000000 ___RD C:\Users\Myri\Desktop\Myri
2012-04-07 03:26 - 2012-06-12 21:56 - 02342400 ____A (Microsoft Corporation) C:\Windows\System32\msi.dll
2012-04-04 05:56 - 2012-06-08 04:14 - 00022344 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2012-04-02 23:40 - 2010-11-06 13:21 - 00000000 ____D C:\Program Files\RapidShareManager
2012-04-02 22:45 - 2011-09-11 07:45 - 00000000 ____D C:\Users\Myri\Documents\MAGIX_MxTray
2012-04-02 22:45 - 2011-09-11 07:16 - 00000000 ____D C:\Users\All Users\MAGIX
2012-04-02 22:44 - 2011-10-21 06:52 - 00000000 ____D C:\Program Files\BMWi
2012-04-02 22:32 - 2009-07-13 20:53 - 00032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2012-03-30 20:39 - 2012-05-08 22:11 - 03968368 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2012-03-30 20:39 - 2012-05-08 22:11 - 03913072 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2012-03-30 09:42 - 2012-03-30 09:42 - 00029691 ____A C:\Users\Myri\Documents\Caponate mit Mozarellabrot.docx
2012-03-30 09:38 - 2012-03-30 09:38 - 00029943 ____A C:\Users\Myri\Documents\Ahle-Worsch-Salat.docx
2012-03-30 09:38 - 2012-03-30 09:38 - 00000000 ____D C:\Users\Myri\Documents\Rezepte
2012-03-30 02:23 - 2012-05-08 22:11 - 01291632 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2012-03-27 09:01 - 2012-03-27 09:01 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Apple
2012-03-25 10:46 - 2011-07-10 11:04 - 00000000 ____D C:\Temp
2012-03-25 09:55 - 2012-03-25 09:55 - 00345826 ____A C:\Users\Myri\Downloads\cocpit raus c5 forum.jpg
2012-03-23 01:09 - 2012-03-23 01:09 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Microsoft Corporation
2012-03-21 13:42 - 2010-02-13 11:41 - 00000000 ____D C:\Users\Myri\AppData\Roaming\Google
2012-03-21 10:46 - 2012-03-21 10:46 - 00000000 ____D C:\Users\Myri\Desktop\rep anleitung

ZeroAccess:
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\L
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U

ZeroAccess:
C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}
C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}\@
C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}\L
C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}\U

========================= Known DLLs (Whitelisted) ============


========================= Bamital & volsnap Check ============

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe
[2009-07-13 15:11] - [2009-07-13 17:14] - 0259072 ____A (Microsoft Corporation) A302BBFF2A7278C0E239EE5D471D86A9

C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

========================= Memory info ====================== 

Percentage of memory in use: 15%
Total physical RAM: 3036.61 MB
Available physical RAM: 2580.64 MB
Total Pagefile: 3032.83 MB
Available Pagefile: 2587.86 MB
Total Virtual: 2047.88 MB
Available Virtual: 1970.31 MB

======================= Partitions =========================

1 Drive c: () (Fixed) (Total:141.49 GB) (Free:74.36 GB) NTFS
2 Drive e: () (Fixed) (Total:141.5 GB) (Free:24.73 GB) NTFS
3 Drive f: (RECOVERY) (Fixed) (Total:15 GB) (Free:3.37 GB) NTFS
5 Drive h: () (Removable) (Total:7.31 GB) (Free:7.31 GB) FAT32
6 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
7 Drive y: (SYSTEM) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

  Disk ###  Status         Size     Free     Dyn  Gpt
  --------  -------------  -------  -------  ---  ---
  Disk 0    Online          298 GB      0 B         
  Disk 1    Online         7500 MB      0 B         

Partitions of Disk 0:
===============

  Partition ###  Type              Size     Offset
  -------------  ----------------  -------  -------
  Partition 1    Recovery            15 GB  1024 KB
  Partition 2    Primary            100 MB    15 GB
  Partition 3    Primary            141 GB    15 GB
  Partition 4    Primary            141 GB   156 GB

======================================================================================================

Disk: 0
Partition 1
Type  : 27
Hidden: Yes
Active: No

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 4     F   RECOVERY     NTFS   Partition     15 GB  Healthy    Hidden  

======================================================================================================

Disk: 0
Partition 2
Type  : 07
Hidden: No
Active: Yes

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1     Y   SYSTEM       NTFS   Partition    100 MB  Healthy            

======================================================================================================

Disk: 0
Partition 3
Type  : 07
Hidden: No
Active: No

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2     C                NTFS   Partition    141 GB  Healthy            

======================================================================================================

Disk: 0
Partition 4
Type  : 07
Hidden: No
Active: No

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 3     E                NTFS   Partition    141 GB  Healthy            

======================================================================================================

Partitions of Disk 1:
===============

  Partition ###  Type              Size     Offset
  -------------  ----------------  -------  -------
  Partition 1    Primary           7499 MB    31 KB

======================================================================================================

Disk: 1
Partition 1
Type  : 0B
Hidden: No
Active: Yes

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 5     H                FAT32  Removable   7499 MB  Healthy            

======================================================================================================

==========================================================

Last Boot: 2012-06-17 23:05

======================= End Of Log ==========================
         

Alt 18.06.2012, 13:48   #8
Psychotic
/// Malwareteam
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Sirefef funkt uns dazwischen, den müssen wir auf anderem Wege killen, bevor es weitergeht!

Suche mit FRST



Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und starte von der CD
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !!
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein. e:\frst.exe Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Search file(s).
  • Es öfnet sich ein Fenster, in dem bereits search: steht.
    Füge hier folgendes hinzu:
    Code:
    ATTFilter
    services.exe
             

Klicke auf search - das Tool erstellt eine search.txt auf deinem Stick. Poste den Inhalt bitte hier.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 18.06.2012, 15:11   #9
slyder
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



hier die search.txt

Code:
ATTFilter
Farbar Recovery Scan Tool Version: 17-06-2012 02
Ran by SYSTEM at 2012-06-18 15:04:33
Running from H:\

================== Search: "services.exe" ===================

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe
[2009-07-13 15:11] - [2009-07-13 17:14] - 0259072 ____A (Microsoft Corporation) 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\System32\services.exe
[2009-07-13 15:11] - [2009-07-13 17:14] - 0259072 ____A (Microsoft Corporation) A302BBFF2A7278C0E239EE5D471D86A9

=== End Of Search ===
         

Alt 19.06.2012, 23:02   #10
Psychotic
/// Malwareteam
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Schritt 1: Fix mit FRST


Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627}
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}
replace: C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe C:\Windows\System32\services.exe
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



Starte Windows!



Schritt 2: Combofix


Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3: FSS



Downloade dir bitte Farbar's Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.
Poste bitte den Inhalt hier.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 20.06.2012, 09:38   #11
slyder
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



jooh da bin ich wieder.
hier die logfils

Fixlog.txt

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) Version: 17-06-2012 02
Ran by SYSTEM at 2012-06-20 09:05:24 Run:1
Running from H:\

==============================================

C:\Users\Myri\AppData\Local\{1f0a3449-ea80-1be2-caff-261ea31af627} moved successfully.
C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627} moved successfully.
C:\Windows\System32\services.exe moved successfully.
C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe copied successfully to C:\Windows\System32\services.exe

==== End of Fixlog ====
         
Combofix.txt

Code:
ATTFilter
Combofix Logfile:
Combofix Logfile:
Code:
ATTFilter
ComboFix 12-06-16.02 - Myri 20.06.2012   9:12.1.2 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3037.2010 [GMT 2:00]
ausgeführt von:: c:\users\Myri\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\FullRemove.exe
c:\users\Myri\AppData\Roaming\.#
c:\users\Myri\AppData\Roaming\.#\MBX@C2C@242760.###
c:\users\Myri\AppData\Roaming\.#\MBX@C2C@242790.###
c:\users\Myri\AppData\Roaming\Abenm
c:\users\Myri\AppData\Roaming\Abenm\otfu.exe
c:\users\Myri\AppData\Roaming\Acezq
c:\users\Myri\AppData\Roaming\Acezq\udat.ode
c:\users\Myri\AppData\Roaming\Help\coredb\storage
c:\users\Myri\Documents\~WRL1547.tmp
c:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\@
c:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@
c:\windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@
c:\windows\system32\muzapp.exe
c:\windows\system32\tmp16C0.tmp
c:\windows\system32\tmp170F.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-20 bis 2012-06-20  ))))))))))))))))))))))))))))))
.
.
2012-06-20 07:20 . 2012-06-20 07:20	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-06-20 07:16 . 2012-06-20 07:16	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\offreg.dll
2012-06-20 06:32 . 2012-06-20 06:57	--------	d-----w-	c:\users\Myri\AppData\Roaming\Ogatqi
2012-06-20 05:55 . 2012-05-31 03:41	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\mpengine.dll
2012-06-18 20:28 . 2012-06-18 20:29	--------	d-----w-	C:\FRST
2012-06-17 18:27 . 2012-05-21 02:09	80824	----a-w-	c:\windows\system32\drivers\ssudbus.sys
2012-06-17 18:27 . 2012-05-21 02:09	181432	----a-w-	c:\windows\system32\drivers\ssudserd.sys
2012-06-17 18:27 . 2012-05-21 02:09	181432	----a-w-	c:\windows\system32\drivers\ssudmdm.sys
2012-06-16 13:50 . 2012-05-04 09:59	514560	----a-w-	c:\windows\system32\qdvd.dll
2012-06-15 15:39 . 2012-06-15 15:39	--------	d-----w-	c:\users\Myri\AppData\Roaming\Avira
2012-06-15 15:37 . 2012-04-27 08:20	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-06-15 15:37 . 2012-04-24 22:32	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-06-15 15:37 . 2012-04-16 19:18	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-06-15 15:36 . 2012-06-15 15:36	--------	d-----w-	c:\programdata\Avira
2012-06-15 15:36 . 2012-06-15 15:36	--------	d-----w-	c:\program files\Avira
2012-06-13 13:57 . 2012-06-13 13:57	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-06-13 05:58 . 2012-04-28 03:17	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-13 05:56 . 2012-04-07 11:26	2342400	----a-w-	c:\windows\system32\msi.dll
2012-06-13 05:56 . 2012-05-15 01:05	2343936	----a-w-	c:\windows\system32\win32k.sys
2012-06-13 05:56 . 2012-04-26 04:45	58880	----a-w-	c:\windows\system32\rdpwsx.dll
2012-06-13 05:56 . 2012-04-26 04:45	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-06-13 05:56 . 2012-04-26 04:41	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-06-13 05:56 . 2012-05-01 04:44	164352	----a-w-	c:\windows\system32\profsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36	140288	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36	1158656	----a-w-	c:\windows\system32\crypt32.dll
2012-06-13 05:56 . 2012-04-24 04:36	103936	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-08 19:27 . 2012-06-08 19:27	54016	----a-w-	c:\windows\system32\drivers\xbeutr.sys
2012-06-08 12:15 . 2012-06-08 12:15	--------	d-----w-	c:\users\Myri\AppData\Roaming\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-06-08 12:14 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-15 15:30 . 2012-04-10 06:56	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-15 15:30 . 2011-05-15 07:37	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-29 07:38 . 2011-01-29 16:00	330240	----a-w-	c:\windows\MASetupCaller.dll
2012-03-31 04:39 . 2012-05-09 06:11	3968368	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-03-31 04:39 . 2012-05-09 06:11	3913072	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-30 10:23 . 2012-05-09 06:11	1291632	----a-w-	c:\windows\system32\drivers\tcpip.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesPDLR"="c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-06-08 21432]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-04-05 17356424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-04-20 2327552]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R2 ICM_UpdaterService;ICM_UpdaterService Disp;c:\program files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe [2011-03-18 204883]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2012-04-05 158856]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-15 257224]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2012-05-21 80824]
R3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\DRIVERS\massfilter.sys [2009-04-09 7680]
R3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-06-02 121064]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-06-02 12776]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-06-02 136808]
R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2012-05-21 181432]
R3 ssudserd;SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudserd.sys [2012-05-21 181432]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2009-04-09 110592]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-04-09 105344]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-04-16 36000]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2009-05-28 10752]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2012-05-01 86224]
S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [2012-03-19 2666880]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-04-20 9216]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-09-07 123496]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-09-28 315392]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 15:30]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
HKCU-Run-KiesHelper - c:\program files\Samsung\Kies\KiesHelper.exe
HKCU-Run-Ebabwemub - c:\users\Myri\AppData\Roaming\Abenm\otfu.exe
SafeBoot-mcmscsvc
SafeBoot-MCODS
AddRemove-24_flashusbdriver - c:\program files\samsung\usb drivers\24_flashusbdriver\uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\Display\NvXDSync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\taskhost.exe
c:\program files\Samsung\Samsung Update Plus\SUPBackground.exe
c:\program files\Samsung\Samsung Support Center\SSCKbdHk.exe
c:\program files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
c:\program files\AnyPC Client\APLanMgrC.exe
c:\windows\system32\conhost.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\WUDFHost.exe
c:\windows\System32\rundll32.exe
c:\windows\system32\DllHost.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-20  09:29:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-20 07:29
.
Vor Suchlauf: 15 Verzeichnis(se), 79.108.718.592 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 78.934.851.584 Bytes frei
.
- - End Of File - - 261F0711FB8F33E9F282BB44CFEF435E
         
--- --- --- --- --- ---
FSS.txt

Code:
ATTFilter
Farbar Service Scanner Version: 19-06-2012 01
Ran by Myri (administrator) on 20-06-2012 at 09:37:26
Running from "C:\Users\Myri\Desktop"
Microsoft Windows 7 Home Premium  Service Pack 1 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============
Dnscache Service is not running. Checking service configuration:
The start type of Dnscache service is set to Disabled. The default start type is Auto.
The ImagePath of Dnscache service is OK.
The ServiceDll of Dnscache service is OK.


Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


File Check:
========
C:\windows\system32\nsisvc.dll => MD5 is legit
C:\windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\windows\system32\dhcpcore.dll => MD5 is legit
C:\windows\system32\Drivers\afd.sys => MD5 is legit
C:\windows\system32\Drivers\tdx.sys => MD5 is legit
C:\windows\system32\Drivers\tcpip.sys => MD5 is legit
C:\windows\system32\dnsrslvr.dll => MD5 is legit
C:\windows\system32\mpssvc.dll => MD5 is legit
C:\windows\system32\bfe.dll => MD5 is legit
C:\windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\windows\system32\SDRSVC.dll => MD5 is legit
C:\windows\system32\vssvc.exe => MD5 is legit
C:\windows\system32\svchost.exe => MD5 is legit
C:\windows\system32\rpcss.dll => MD5 is legit


**** End of log ****
         

Alt 20.06.2012, 10:24   #12
Psychotic
/// Malwareteam
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Sachte ich doch!

CF-Script


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
dirlook::
c:\users\Myri\AppData\Roaming\Ogatqi
Filelook::
c:\windows\system32\qdvd.dll
c:\windows\system32\drivers\xbeutr.sys
         
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 20.06.2012, 11:14   #13
slyder
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Marius nachdem Combofix durchlief hatte ich keinen zugriff auf z.b. Windows Explorer oder eine Notepad Datei die am Desktop lag. Erst nach Systemneustart ist dies wieder möglich und die combofix txt ist zu kopieren.

Mfg Mafio
Combofix.txt
Code:
ATTFilter
ComboFix 12-06-19.03 - Myri 20.06.2012  10:35:00.2.2 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3037.2024 [GMT 2:00]
ausgeführt von:: c:\users\Myri\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Myri\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-20 bis 2012-06-20  ))))))))))))))))))))))))))))))
.
.
2012-06-20 08:40 . 2012-06-20 08:40	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-06-20 07:16 . 2012-06-20 07:16	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\offreg.dll
2012-06-20 06:32 . 2012-06-20 06:57	--------	d-----w-	c:\users\Myri\AppData\Roaming\Ogatqi
2012-06-20 05:55 . 2012-05-31 03:41	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\mpengine.dll
2012-06-18 20:28 . 2012-06-18 20:29	--------	d-----w-	C:\FRST
2012-06-17 18:27 . 2012-05-21 02:09	80824	----a-w-	c:\windows\system32\drivers\ssudbus.sys
2012-06-17 18:27 . 2012-05-21 02:09	181432	----a-w-	c:\windows\system32\drivers\ssudserd.sys
2012-06-17 18:27 . 2012-05-21 02:09	181432	----a-w-	c:\windows\system32\drivers\ssudmdm.sys
2012-06-16 13:50 . 2012-05-04 09:59	514560	----a-w-	c:\windows\system32\qdvd.dll
2012-06-15 15:39 . 2012-06-15 15:39	--------	d-----w-	c:\users\Myri\AppData\Roaming\Avira
2012-06-15 15:37 . 2012-04-27 08:20	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-06-15 15:37 . 2012-04-24 22:32	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-06-15 15:37 . 2012-04-16 19:18	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-06-15 15:36 . 2012-06-15 15:36	--------	d-----w-	c:\programdata\Avira
2012-06-15 15:36 . 2012-06-15 15:36	--------	d-----w-	c:\program files\Avira
2012-06-13 13:57 . 2012-06-13 13:57	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-06-13 05:58 . 2012-04-28 03:17	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-13 05:56 . 2012-04-07 11:26	2342400	----a-w-	c:\windows\system32\msi.dll
2012-06-13 05:56 . 2012-05-15 01:05	2343936	----a-w-	c:\windows\system32\win32k.sys
2012-06-13 05:56 . 2012-04-26 04:45	58880	----a-w-	c:\windows\system32\rdpwsx.dll
2012-06-13 05:56 . 2012-04-26 04:45	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-06-13 05:56 . 2012-04-26 04:41	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-06-13 05:56 . 2012-05-01 04:44	164352	----a-w-	c:\windows\system32\profsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36	140288	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36	1158656	----a-w-	c:\windows\system32\crypt32.dll
2012-06-13 05:56 . 2012-04-24 04:36	103936	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-08 19:27 . 2012-06-08 19:27	54016	----a-w-	c:\windows\system32\drivers\xbeutr.sys
2012-06-08 12:15 . 2012-06-08 12:15	--------	d-----w-	c:\users\Myri\AppData\Roaming\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-06-08 12:14 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-15 15:30 . 2012-04-10 06:56	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-15 15:30 . 2011-05-15 07:37	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-29 07:38 . 2011-01-29 16:00	330240	----a-w-	c:\windows\MASetupCaller.dll
2012-03-31 04:39 . 2012-05-09 06:11	3968368	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-03-31 04:39 . 2012-05-09 06:11	3913072	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-30 10:23 . 2012-05-09 06:11	1291632	----a-w-	c:\windows\system32\drivers\tcpip.sys
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\drivers\xbeutr.sys ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File size: 54016
Created time: 2012-06-08 19:27
Modified time: 2012-06-08 19:27
MD5: E6D35F3AA51A65EB35C1F2340154A25E
SHA1: AABBD57E20D2E7041F9E7ABCE6CFD8A53C366537
.
.
--- c:\windows\system32\qdvd.dll ---
Company: Microsoft Corporation
File Description: Laufzeitbibliothek für DirectShow DVD PlayBack
File Version: 6.6.7600.16385 (win7_rtm.090713-1255)
Product Name: Betriebssystem Microsoft® Windows®
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename: Qdvd.dll.mui
File size: 514560
Created time: 2012-06-16 13:50
Modified time: 2012-05-04 09:59
MD5: 33B26FA5DBEB69FFAB703EDCB4E6DE4A
SHA1: 49F386066867328FB38A2E09231A7D7C5744CD6F
.
---- Directory of c:\users\Myri\AppData\Roaming\Ogatqi ----
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesPDLR"="c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-06-08 21432]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-04-05 17356424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-04-20 2327552]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R2 ICM_UpdaterService;ICM_UpdaterService Disp;c:\program files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe [2011-03-18 204883]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2012-04-05 158856]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-15 257224]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2012-05-21 80824]
R3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\DRIVERS\massfilter.sys [2009-04-09 7680]
R3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-06-02 121064]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-06-02 12776]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-06-02 136808]
R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2012-05-21 181432]
R3 ssudserd;SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudserd.sys [2012-05-21 181432]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2009-04-09 110592]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-04-09 105344]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-04-16 36000]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2009-05-28 10752]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2012-05-01 86224]
S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [2012-03-19 2666880]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-04-20 9216]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-09-07 123496]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-09-28 315392]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 15:30]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
TCP: DhcpNameServer = 192.168.2.1
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-06-20  10:42:42
ComboFix-quarantined-files.txt  2012-06-20 08:42
ComboFix2.txt  2012-06-20 07:29
.
Vor Suchlauf: 19 Verzeichnis(se), 79.057.285.120 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 78.880.870.400 Bytes frei
.
- - End Of File - - 4094FAFFF59045FF38E20C0CAA1C9AC1
         

Alt 20.06.2012, 11:37   #14
Psychotic
/// Malwareteam
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Ich weiß - das gibt sich nach einem Neustart wieder!


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
FILE::
c:\windows\system32\drivers\xbeutr.sys
FOLDER::
c:\users\Myri\AppData\Roaming\Ogatqi
CLEARJAVACACHE::
         
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.




Schritt 2: MBAM




Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 20.06.2012, 14:39   #15
slyder
 
Trojaner  TR/Small.FI ,  TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss  C:\Windows\Installer\{ - Standard

Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{



Code:
ATTFilter
ComboFix 12-06-19.03 - Myri 20.06.2012  11:48:22.3.2 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3037.2157 [GMT 2:00]
ausgeführt von:: c:\users\Myri\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Myri\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\system32\drivers\xbeutr.sys"
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Myri\AppData\Local\Temp\26b4a1dd-e07b-48af-be4e-9642b273284b\CliSecureRT.dll
c:\users\Myri\AppData\Roaming\Ogatqi
c:\windows\system32\drivers\xbeutr.sys
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-20 bis 2012-06-20  ))))))))))))))))))))))))))))))
.
.
2012-06-20 09:54 . 2012-06-20 09:54	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-06-20 07:16 . 2012-06-20 09:54	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\offreg.dll
2012-06-20 05:55 . 2012-05-31 03:41	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A95D53EF-9353-4226-A361-EE208B15EF7B}\mpengine.dll
2012-06-18 20:28 . 2012-06-18 20:29	--------	d-----w-	C:\FRST
2012-06-17 18:27 . 2012-05-21 02:09	80824	----a-w-	c:\windows\system32\drivers\ssudbus.sys
2012-06-17 18:27 . 2012-05-21 02:09	181432	----a-w-	c:\windows\system32\drivers\ssudserd.sys
2012-06-17 18:27 . 2012-05-21 02:09	181432	----a-w-	c:\windows\system32\drivers\ssudmdm.sys
2012-06-16 13:50 . 2012-05-04 09:59	514560	----a-w-	c:\windows\system32\qdvd.dll
2012-06-15 15:39 . 2012-06-15 15:39	--------	d-----w-	c:\users\Myri\AppData\Roaming\Avira
2012-06-15 15:37 . 2012-04-27 08:20	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-06-15 15:37 . 2012-04-24 22:32	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-06-15 15:37 . 2012-04-16 19:18	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-06-15 15:36 . 2012-06-15 15:36	--------	d-----w-	c:\programdata\Avira
2012-06-15 15:36 . 2012-06-15 15:36	--------	d-----w-	c:\program files\Avira
2012-06-13 13:57 . 2012-06-13 13:57	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-06-13 05:58 . 2012-04-28 03:17	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-13 05:56 . 2012-04-07 11:26	2342400	----a-w-	c:\windows\system32\msi.dll
2012-06-13 05:56 . 2012-05-15 01:05	2343936	----a-w-	c:\windows\system32\win32k.sys
2012-06-13 05:56 . 2012-04-26 04:45	58880	----a-w-	c:\windows\system32\rdpwsx.dll
2012-06-13 05:56 . 2012-04-26 04:45	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-06-13 05:56 . 2012-04-26 04:41	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-06-13 05:56 . 2012-05-01 04:44	164352	----a-w-	c:\windows\system32\profsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36	140288	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36	1158656	----a-w-	c:\windows\system32\crypt32.dll
2012-06-13 05:56 . 2012-04-24 04:36	103936	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-08 12:15 . 2012-06-08 12:15	--------	d-----w-	c:\users\Myri\AppData\Roaming\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-08 12:14 . 2012-06-08 12:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-06-08 12:14 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-15 15:30 . 2012-04-10 06:56	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-15 15:30 . 2011-05-15 07:37	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-29 07:38 . 2011-01-29 16:00	330240	----a-w-	c:\windows\MASetupCaller.dll
2012-03-31 04:39 . 2012-05-09 06:11	3968368	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-03-31 04:39 . 2012-05-09 06:11	3913072	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-30 10:23 . 2012-05-09 06:11	1291632	----a-w-	c:\windows\system32\drivers\tcpip.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesPDLR"="c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-06-08 21432]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-04-05 17356424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-04-20 2327552]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R2 ICM_UpdaterService;ICM_UpdaterService Disp;c:\program files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe [2011-03-18 204883]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2012-04-05 158856]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-15 257224]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2012-05-21 80824]
R3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 135664]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\DRIVERS\massfilter.sys [2009-04-09 7680]
R3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-06-02 121064]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-06-02 12776]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-06-02 136808]
R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2012-05-21 181432]
R3 ssudserd;SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudserd.sys [2012-05-21 181432]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2009-04-09 110592]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-04-09 105344]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-04-16 36000]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2009-05-28 10752]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2012-05-01 86224]
S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [2012-03-19 2666880]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-04-20 9216]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-09-07 123496]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-09-28 315392]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 15:30]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-13 20:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
TCP: DhcpNameServer = 192.168.2.1
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\Display\NvXDSync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\taskhost.exe
c:\program files\Samsung\Samsung Update Plus\SUPBackground.exe
c:\program files\Samsung\Samsung Support Center\SSCKbdHk.exe
c:\program files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
c:\program files\AnyPC Client\APLanMgrC.exe
c:\windows\system32\conhost.exe
c:\windows\system32\DllHost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-20  12:16:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-20 10:16
ComboFix2.txt  2012-06-20 08:42
ComboFix3.txt  2012-06-20 07:29
.
Vor Suchlauf: 19 Verzeichnis(se), 78.954.086.400 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 78.470.582.272 Bytes frei
.
- - End Of File - - 42FD1EE7007B3B81C439D635803DFF24
         
Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.20.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Myri :: MYRI-PC [Administrator]

20.06.2012 12:18:08
mbam-log-2012-06-20 (12-18-08).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 353289
Laufzeit: 2 Stunde(n), 15 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Qoobox\Quarantine\C\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\80000000.@.vir (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Antwort

Themen zu Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{
.dll, 80000000.@, 800000cb.@, administrator, alternate, antivir, chip.de, dateien, dateisystem, desktop, device driver, escan, explorer, explorer.exe, google earth, heuristiks/extra, heuristiks/shuriken, iexplore.exe, locker, logfile, lsass.exe, maleware, malware, microsoft office word, namen, nt.dll, office 2007, origin, popup, programm, regcleaner, richtlinie, schutz, searchscopes, seiten, services.exe, svchost.exe, taskhost.exe, temp, tr.atraps.gen2, trojaner, version=1.0, vodafone, windows, winlogon.exe, youtube downloader



Ähnliche Themen: Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{


  1. TR/ATRAPS.Gen2 in C:\windows\installer\...\80000032.@ Avira Fund auf Vista PC
    Log-Analyse und Auswertung - 27.07.2013 (23)
  2. TR/ATRAPS.Gen2 gefunden in Windows\installer
    Plagegeister aller Art und deren Bekämpfung - 15.06.2013 (53)
  3. Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (23)
  4. TR/ATRAPS.Gen2, TR/Sirefef.16896 (in C:\Windows\Installer\...) und W32/Patched.UA (C:\Windows\System32\services.exe)
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  5. TR/ATRAPS.Gen2 in C:\Windows\Installer\{bd**65e7}\U\80000064.@
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (18)
  6. TR/ATRAPS.Gen2 in C:\Windows\Installer\{f6f92717-f7b0-1b2a-ac00-1327096c2974}\U\800000cb.@
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (23)
  7. Trojaner TR/ATRAPS.Gen2 in c:\windows\installer...
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (1)
  8. Nach system security Virus nun Trojan.sirefef und trojan.small in windows/installer
    Plagegeister aller Art und deren Bekämpfung - 18.07.2012 (23)
  9. TR/ATRAPS GEN2 in Windows Installer und Lokale Einstellungen
    Log-Analyse und Auswertung - 11.07.2012 (1)
  10. Trojaner-Dauerschleife: TR/ATRAPS.Gen2 ; TR/Sirefef.AG.35 ; TR/Small.FI
    Log-Analyse und Auswertung - 06.07.2012 (15)
  11. Trojan.Small, Trojan.Sirefef, Rootkit.0Access in C:\Windows\installer - ist nicht zu entfernen
    Log-Analyse und Auswertung - 05.07.2012 (23)
  12. Diverse Trojaner eingefangen; TR/ATRAPS.Gen/Gen2 und TR/Small.FI
    Log-Analyse und Auswertung - 27.06.2012 (3)
  13. TR/ATRAPAS.GEN, GEN2 und TR/Small.F1 mit ständigen Meldungen
    Plagegeister aller Art und deren Bekämpfung - 26.06.2012 (18)
  14. Trojaner TR/ATRAPS.Gen2, TR/Sirefef.AG.35 u TR/Small.FI auf meinem PC
    Plagegeister aller Art und deren Bekämpfung - 17.06.2012 (19)
  15. TR/ATRAPS.GEN2 in C:/Windows/Installer/xxx/800000.32@ gefunden
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (14)
  16. TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\
    Log-Analyse und Auswertung - 14.06.2012 (3)
  17. Trojaner Small-Gen2
    Plagegeister aller Art und deren Bekämpfung - 26.04.2007 (9)

Zum Thema Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ - Hallo Forum Mein Antivir entdeckt so ca am 5. oder 6. Juni beim Scan den Trojaner im verzeichniss C:\Windows\Installer\{1f0a3449-ea80-1be2-caff-261ea31af627}\U\00000001.@. Heute entdeckte Antivir im gleichen Verzeichniss den Tr.ATRAPS.Gen2 und TR/Sirefef.AG.35 Anti - Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{...
Archiv
Du betrachtest: Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.