Hallo alle zusammen,
ich habe mir heute den GVU Trojaner eingefangen und erstelle hiermit wie gewünscht ein neues Thema.
Das Kaspersky-tool von chip.de habe ich ohne Erfolg laufen lassen - will heissen, dass im offline-Betrieb der Taskmanager nach einigen Sekunden selbstständig schließt und nicht wieder zu öffnen ist und im online-Betrieb nach einer gewissen Zeit die Desktop-Sperrung auftritt...ziemlich nervig das Ganze wie ihr vermutlich alle wisst.
Ich habe die beschriebenen Schritte ausgeführt und werde die Extras.txt und die OLR.txt anhängen.
Ganz als erstes habe ich eine ctfmon aus meinem Autostart entfernt (nur die Verknüfung) welche sich aber offenbar erneuert und jetzt wieder da ist....

Ich hoffe ja, dass mir bereits übers Wochenende helfen kann, aber hetzt euch bitte nicht extra - ihr macht auch so schon einen geilen Job!

MfG infectet 17.08.2012 KunZ

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld

Hallo,
habe inzwischen einen vollständigen Suchlauf mit Malwarebytes Anti-Malware durchgeführt. Log-Datei folgt.
Die C:\Games\Anno\solidcore32.dll , die als erster Eintrag angezeigt wird, ist ein alter Bekannter von mir. Das Problem trat direkt nach Installation der (Original!)Software auf und wurde mir von ANtivir gemeldet. Auch nach Neuinstallation wieder das gleiche Spiel - auch wenn ich davon ausgehe, dass die Datei unschädlich ist, ziehe ich immer das Internetkabel bevor ich das Spiel spiele...
Die wtbt0.dll scheint der neue Störenfried zu sein. Die Datei ist noch nie aufgetaucht und der Ordner sieht ja auch irgendwie nach drive-by-infektion aus....

Vielen Dank schonmal für deine schnelle Antwort! Du hast mir damit Mut gemacht...
Ich freu mich schon auf deine Hilfe!
MfG KunZ

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.03.05

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
KunZ :: RITCHIE [Administrator]

17.08.2012 19:24:38
mbam-log-2012-08-17 (21-16-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 506964
Laufzeit: 1 Stunde(n), 30 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\Users\KunZ\AppData\Local\Temp\wpbt0.dll (Exploit.Drop.GS) -> Keine Aktion durchgeführt.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Games\Anno\solidcore32.dll (Trojan.Krypt) -> Keine Aktion durchgeführt.
C:\Users\KunZ\AppData\Local\Temp\wpbt0.dll (Exploit.Drop.GS) -> Keine Aktion durchgeführt.

(Ende)
         

Hallo und
Ich bin Christoph und möchte dir bei deinem Problem helfen.
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (Posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software außer Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen außer ich fordere Dich dazu auf. Erschwert mir nämlich das Auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein PC clean ist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.


Bitte poste in deiner nächsten Antwort

• Combofix-Log

Hallo Christoph,
erstmal recht herzlichen Dank für deine schnelle Antwort und deine Absicht, mir zu helfen!
Und danke dass du am wochenende am PC sitzt um mir zu helfen!
Ich habe 2 log-files produziert. Beim ersten Mal hatte ich vergessen den windows-defender zu deaktivieren. beim zweiten mal hab ichs gemacht aber ich scheine Antivir und den Defender nicht vollständig deaktivieren zu können....
Im Folgenden also die log.txt´s: Die erste mit Defender, die zweite (hoffentlich) ohne...

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-08-17.03 - KunZ 18.08.2012  15:03:48.1.2 - x64
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3327.2308 [GMT 2:00]
ausgeführt von:: c:\users\KunZ\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\0tbpw.pad
c:\users\KunZ\AppData\Local\Temp\wpbt0.dll
c:\users\KunZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
c:\windows\IsUn0407.exe
c:\windows\SysWow64\URTTemp
c:\windows\SysWow64\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-18 bis 2012-08-18  ))))))))))))))))))))))))))))))
.
.
2012-08-18 13:08 . 2012-08-18 13:08	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-08-17 17:49 . 2012-08-17 18:05	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-08-17 17:23 . 2012-08-17 17:23	--------	d-----w-	c:\users\KunZ\AppData\Roaming\Malwarebytes
2012-08-17 17:23 . 2012-08-17 17:23	--------	d-----w-	c:\programdata\Malwarebytes
2012-08-17 17:22 . 2012-08-17 17:23	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-08-17 17:22 . 2012-07-03 11:46	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-08-15 23:03 . 2012-08-15 23:03	--------	d-----w-	c:\users\KunZ\AppData\Roaming\Apple Computer
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\programdata\Apple Computer
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\program files (x86)\Common Files\Apple
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\users\KunZ\AppData\Local\Apple
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\programdata\Apple
2012-07-28 11:20 . 2012-07-28 11:20	--------	d-----w-	c:\users\KunZ\AppData\Local\Macromedia
2012-07-28 11:19 . 2012-07-28 11:19	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-28 11:19 . 2011-12-10 01:01	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-06-02 22:19 . 2012-06-28 14:31	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-28 14:31	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-28 14:31	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-28 14:31	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-28 14:31	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:15 . 2012-06-28 14:31	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-28 14:31	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-28 14:31	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:15 . 2012-06-28 14:31	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-05-23 20:29 . 2012-01-07 23:33	98848	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-23 20:29 . 2012-01-07 23:33	132832	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
R3 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-03-03 202752]
R3 AtiDCM;AtiDCM;c:\users\KunZ\AppData\Local\Temp\atdcm64a.sys [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-27 113120]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-25 834544]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-15 27760]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 191616]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-23 86224]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2010-03-03 6402560]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-03-03 188928]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-09-28 395264]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.nachdenkseiten.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to DVD Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm
IE: Free YouTube to MP3 Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\
FF - prefs.js: browser.startup.homepage - hxxp://tu-clausthal.de
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2c,c3,99,59,87,46,15,3e,3a,84,c9,da,08,a8,2a,10,08,d8,e4,02,5c,67,84,
   74,14,89,26,0a,6e,74,dd,9c,3b,03,c9,ce,71,c1,f5,bb,dd,c6,16,9f,a4,9d,00,9f,\
"??"=hex:de,46,d7,f7,8c,9b,f3,8c,52,02,df,b0,73,38,aa,41
.
[HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\License information*]
"datasecu"=hex:ee,ed,f8,05,9f,e8,d4,50,dc,6b,67,6c,c0,e7,e7,88,76,89,f5,de,04,
   ed,84,4e,b5,c3,e5,8d,1f,49,78,68,38,be,ec,7d,42,0c,98,2a,11,80,2e,23,57,86,\
"rkeysecu"=hex:3b,25,8c,57,a5,9b,49,fa,69,84,2e,af,5e,ad,e0,58
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-18  15:40:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-18 13:40
.
Vor Suchlauf: 18 Verzeichnis(se), 10.315.923.456 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 10.792.800.256 Bytes frei
.
- - End Of File - - 2E4847221436D770EB11F0699E0A5F60
         

und Nummer 2:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-08-17.03 - KunZ 18.08.2012  15:56:34.2.2 - x64
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3327.2384 [GMT 2:00]
ausgeführt von:: c:\users\KunZ\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-18 bis 2012-08-18  ))))))))))))))))))))))))))))))
.
.
2012-08-18 14:01 . 2012-08-18 14:01	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-08-17 17:49 . 2012-08-17 18:05	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-08-17 17:23 . 2012-08-17 17:23	--------	d-----w-	c:\users\KunZ\AppData\Roaming\Malwarebytes
2012-08-17 17:23 . 2012-08-17 17:23	--------	d-----w-	c:\programdata\Malwarebytes
2012-08-17 17:22 . 2012-08-17 17:23	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-08-17 17:22 . 2012-07-03 11:46	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-08-15 23:03 . 2012-08-15 23:03	--------	d-----w-	c:\users\KunZ\AppData\Roaming\Apple Computer
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\programdata\Apple Computer
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\program files (x86)\Common Files\Apple
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\users\KunZ\AppData\Local\Apple
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\programdata\Apple
2012-07-28 11:20 . 2012-07-28 11:20	--------	d-----w-	c:\users\KunZ\AppData\Local\Macromedia
2012-07-28 11:19 . 2012-07-28 11:19	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-28 11:19 . 2011-12-10 01:01	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-06-02 22:19 . 2012-06-28 14:31	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-28 14:31	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-28 14:31	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-28 14:31	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-28 14:31	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:15 . 2012-06-28 14:31	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-28 14:31	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-28 14:31	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:15 . 2012-06-28 14:31	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-05-23 20:29 . 2012-01-07 23:33	98848	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-23 20:29 . 2012-01-07 23:33	132832	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-08-18_13.37.02   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-22 17:55 . 2012-08-18 13:38	34932              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-08-18 13:38	39638              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-02-22 16:45 . 2012-08-18 13:38	14558              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3307686048-1986362767-4140185705-1000_UserData.bin
+ 2010-02-23 18:21 . 2012-08-18 14:01	5148              c:\windows\system32\wdi\ERCQueuedResolutions.dat
+ 2010-05-04 15:29 . 2012-08-18 13:38	2214              c:\windows\system32\wdi\{b171ab1c-60e9-4301-a338-beab1c70b3e9}.bin
+ 2012-08-18 14:02 . 2012-08-18 14:02	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-08-18 13:36 . 2012-08-18 13:36	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-08-18 13:36 . 2012-08-18 13:36	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2012-08-18 14:02 . 2012-08-18 14:02	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 02:34 . 2012-08-17 08:07	9961472              c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT
+ 2009-07-14 02:34 . 2012-08-18 13:50	9961472              c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
R3 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-03-03 202752]
R3 AtiDCM;AtiDCM;c:\users\KunZ\AppData\Local\Temp\atdcm64a.sys [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-27 113120]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-25 834544]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-15 27760]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 191616]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-23 86224]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2010-03-03 6402560]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-03-03 188928]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-09-28 395264]
.
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.nachdenkseiten.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to DVD Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm
IE: Free YouTube to MP3 Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\
FF - prefs.js: browser.startup.homepage - hxxp://tu-clausthal.de
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2c,c3,99,59,87,46,15,3e,3a,84,c9,da,08,a8,2a,10,08,d8,e4,02,5c,67,84,
   74,14,89,26,0a,6e,74,dd,9c,3b,03,c9,ce,71,c1,f5,bb,dd,c6,16,9f,a4,9d,00,9f,\
"??"=hex:de,46,d7,f7,8c,9b,f3,8c,52,02,df,b0,73,38,aa,41
.
[HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\License information*]
"datasecu"=hex:ee,ed,f8,05,9f,e8,d4,50,dc,6b,67,6c,c0,e7,e7,88,76,89,f5,de,04,
   ed,84,4e,b5,c3,e5,8d,1f,49,78,68,38,be,ec,7d,42,0c,98,2a,11,80,2e,23,57,86,\
"rkeysecu"=hex:3b,25,8c,57,a5,9b,49,fa,69,84,2e,af,5e,ad,e0,58
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-18  16:06:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-18 14:06
ComboFix2.txt  2012-08-18 13:40
.
Vor Suchlauf: 23 Verzeichnis(se), 10.849.427.456 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 11.240.341.504 Bytes frei
.
- - End Of File - - 81B4CC45534C4F63B27AFEBA89CDC6FB
         

Hi

sieht ganz gut aus, wie läuft der Rechner?

Wir sollten es aber nochmal kontrollieren.


Schritt 1

Malwarebytes

• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter "Log Dateien" finden.

Schritt 2


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste in deiner nächsten Antwort

• Antwort auf meine Frage
• Malwarebytes-Log
• Eset-Log

Moin Christoph!
Meinem PC geht es sehr gut! Ich schreibe das hier wieder von meinem eigenen aus. Vielen Dank schonwieder! Ich glaube ComboFix hat das Ding erwischt....
Der Task-Manager funktioniert wieder uneingeschränkt und Internet funktioniert auch wie ich gerade beweise
Als nächstes also die log-Dateien...ESET hat ewig gebraucht und ist über Nacht gelaufen und hat auch noch ein paar Dinger gefunden - die solidcore32.dll kenn ich wie gesagt und DEAMON-TOOLs auch, allerdings wundert es mich dass die daemon4123-lite.exe gemeldet wird.
SoftonicDownloader38578.exe und Temp\wpbt0.dll.vir sind hart verdächtig und kriegen auf deine Anweisung hin hausverbot bei mir....

MfG KunZ und tausend Dank!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.18.06

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
KunZ :: RITCHIE [Administrator]

18.08.2012 21:31:23
mbam-log-2012-08-18 (21-31-23).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 199857
Laufzeit: 1 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte g㇫ǶㇱǶㇺǶ㈃Ƕ㈌Ƕ㈓Ƕ㈚Ƕ㈠Ƕ㈩Ƕ㈰Ƕ
         

was soll das Kaudawelsch am Ende? Keine bösartigen Objekte gKAUDERWELSCH.....

Und hier die ESET

Code: Alles auswählenAufklappen

ATTFilter

C:\Games\Anno\solidcore32.dll	a variant of Win32/Kryptik.FM trojan
C:\Qoobox\Quarantine\C\Users\KunZ\AppData\Local\Temp\wpbt0.dll.vir	a variant of Win32/Kryptik.AKIK trojan
C:\Users\KunZ\Desktop\EXTERN\SETS\Setups\daemon4123-lite.exe	Win32/Adware.Toolbar.Shopper application
C:\Users\KunZ\Downloads\Neuer Ordner (2)\Neuer Ordner\SoftonicDownloader38578.exe	a variant of Win32/SoftonicDownloader.A application
         

PS: Malwarebytes hat sich beim Start (internet angeschlossen) selstständig aktualisiert - danach wollte ich sicherheitshalber noch ein update per Hand machen, was allerdings nicht funktionierte ("PROGRAM_ERROR_updating(0,0,NoAdressfound")

PPS: Die Datei

Code: Alles auswählenAufklappen

ATTFilter

\Downloads\Neuer Ordner (2)\Neuer Ordner\SoftonicDownloader38578.exe	a variant of Win32/SoftonicDownloader.A application
         

hab ich seit 2 Jahren (!) (2.9.2010) und unter Eigenschaften/Sicherheit steht "Die Datie stammt von einem anderen Computer. Der Zugriff wurde aus Sicherheitsgründen eventuell blockiert".
Hab das grad mal im Internet gecheckt:

Code: Alles auswählenAufklappen

ATTFilter

hxxp://www.softonic.de/download-manager
         

Scheint ein offizielles Programm zu sein, welches Anti-Vieren-Schutz bei downloads bieten soll - ich kenn das Ding nicht und kann mich auch nicht erinnern das mal gezogen zu haben...irgendwie bizarr, dass ein Anti-Vieren-Programm als Schädling erkannt wird....wie gesagt fliegt das Teil auf deine Anweisung hin raus.....

Ich wünsch dir nen schönen Sonntag!

Hi

Das Chinesisch am Ende des Logfiles und den Update-Fehler kannn ich mir im Moment nicht erklären, scheint aber trotzdem funktioniert zu haben.

An den anderen Dateien bemängelt ESET, dass sie als Adware einzustufen sind, also Dinge wie Toolbars etc. mitinstallieren können. Richtige Malware sind sie dadurch nicht.

Aber ich fürchte, die solidcore32.dll ist ein Crack, deswegen muss ich aus Rechtsgründen den Support hier einstellen.

Dateien, wie Crack.exe, Keygen.exe oder Patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte.
Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten.

Hi

ich habe mich entschieden, mit der Bereinigung fortzufahren, da du auf mich (soweit ich das beurteilen kann) nicht den Eindruck machst, dass du jemand bist der wissentlich Cracks benutzt oder in dieser Hinsicht unbelehrbar ist.

Gib mir bitte eine kurze Rückmeldung, wenn du mit der Bereinigung weiter machen möchtest.

Hallo Christoph,
du bist echt in Ordnung! Sorry dass ich jetzt erst schreibe - habs erst nicht gesehen und dann war ich etwas zu sehr im Streß....wie dem auch sei.
Allerdings muss ich bevor wir weitermachen etwas klarstellen:
Die solidcore32.dll ist (war) tatsächlich ein Crack - ich muss zu meiner Schande gestehen dass ich vorher hier Scheiße erzählt hab... Ich habe das Spiel von einem Freund und dem habe ich von unserem "gemeinsamen" Wochende erzählt und dass ich mich doch sehr gewundert hab, als du schriebst es sei ein Crack... Bei dem Gespräch kam raus, dass wir damals das Problem hatten, dass die Installation von der (wie gesagt: Original-) CD zwar funktionierte aber anschließend der Kopierschutz die CD nichtmehr im Laufwerk erkennen wollte - auch nach Neuinstallation nicht....worauf hin wir kurzerhand einen NO-CD-Crack gezogen haben. Das Spiel war ziemlich scheisse und ich hab es lange nicht gespielt, allerdings auch (bis Vorgestern) nicht deinstalliert.
Lange Rede kurzer Sinn: Ich habe also (entgegen deiner Annahme) den Crack damals DOCH WISSENTLICH verwendet - und es in meiner Dösigkeit vergessen...nur dass ich immer bei dem Spiel das Kabel gezogen hab wusste ich noch
(an alle Mitleser: ANNO 2070 kann ich beim besten Willen nicht empfehlen - der Kopierschutz funktioniert nicht richtig (zumindest bei mir und meinem Freund, der das Problem genauso gelöst hatte wie ich) und der Spielspaß ist auch nicht mit den Vorgängern zu vergleichen. Spart euch bitte die immernoch über 40 (!) Euro!)
Ich finde jedenfalls dass du das wissen solltest bevor du hier weitermachst - ihr betreibt da ne echt geile Seite und eure Arbeit ist sehr edel....ich finde ihr solltet nicht beschissen werden.
Ich selbst halte das Cracken von Software, die man im Original besitzt (als juristische Feinheit an dieser Stelle: Die CD befindet sich in meinem Besitz - sie liegt vor mir - mein Kumpel ist allerdings der Eigentümer, da er das Spiel damals für ein Vermögen gekauft hat ) für eine Handlung der gleichen Kategorie wie das Brennen eines Albums, welches man besitzt, um nich das Original im Auto liegen haben zu müssen.... Oder das Modden von Spielen ist glaub ich auch juristisch nicht ganz sauber, allerdings ist es auch fraglich ob es den Hersteller etwas angeht, WIE ich ein Spiel spiele, welches ich zuvor gekauft habe....
In dieser Grauzone hab ich mich also bewegt und hatte es vergessen - hab eure Regeln gelesen und verstanden, inklusive des Teils mit den Cracks, und dann noch dagegen verstoßen. Darum möchte ich mich bei dir/euch entschuldigen und hab auch weiterhin volles Verständnis, wenn ich von euch keine Hilfe mehr bekomme. Ich wollte auch eigentlich schon längst auf deine Absage geantwortet haben und mich bedanken und verabschieden - nochmal sorry.

Jetzt aber genug von den Romanen und den Entschuldigungen - ich hab wieter an dem Problem gearbeitet und ich glaube es sieht gut aus!

Combofix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-08-17.03 - KunZ 21.08.2012  18:27:42.3.2 - x64
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3327.2346 [GMT 2:00]
ausgeführt von:: c:\users\KunZ\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-21 bis 2012-08-21  ))))))))))))))))))))))))))))))
.
.
2012-08-21 16:36 . 2012-08-21 16:36	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-08-18 19:43 . 2012-08-18 19:43	--------	d-----w-	c:\program files (x86)\ESET
2012-08-17 17:49 . 2012-08-17 18:05	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-08-17 17:23 . 2012-08-17 17:23	--------	d-----w-	c:\users\KunZ\AppData\Roaming\Malwarebytes
2012-08-17 17:23 . 2012-08-17 17:23	--------	d-----w-	c:\programdata\Malwarebytes
2012-08-17 17:22 . 2012-08-17 17:23	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-08-17 17:22 . 2012-07-03 11:46	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-08-15 23:03 . 2012-08-15 23:03	--------	d-----w-	c:\users\KunZ\AppData\Roaming\Apple Computer
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\programdata\Apple Computer
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\program files (x86)\Common Files\Apple
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\users\KunZ\AppData\Local\Apple
2012-08-15 18:56 . 2012-08-15 18:56	--------	d-----w-	c:\programdata\Apple
2012-07-28 11:20 . 2012-07-28 11:20	--------	d-----w-	c:\users\KunZ\AppData\Local\Macromedia
2012-07-28 11:19 . 2012-07-28 11:19	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-28 11:19 . 2011-12-10 01:01	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-06-02 22:19 . 2012-06-28 14:31	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-28 14:31	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-28 14:31	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-28 14:31	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-28 14:31	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:15 . 2012-06-28 14:31	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-28 14:31	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-28 14:31	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:15 . 2012-06-28 14:31	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-05-23 20:29 . 2012-01-07 23:33	98848	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-23 20:29 . 2012-01-07 23:33	132832	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-08-18_13.37.02   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-22 17:55 . 2012-08-21 16:16	35298              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-08-21 16:16	39742              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-02-22 16:45 . 2012-08-21 16:16	14622              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3307686048-1986362767-4140185705-1000_UserData.bin
- 2010-02-22 15:22 . 2012-08-17 07:57	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-02-22 15:22 . 2012-08-21 16:18	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-02-22 15:22 . 2012-08-21 16:18	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-02-22 15:22 . 2012-08-17 07:57	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2012-08-17 07:57	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2012-08-21 16:18	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:46 . 2012-08-21 16:18	84592              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\Cache\cache.dat
+ 2010-02-22 16:58 . 2012-08-21 16:19	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-02-22 16:58 . 2012-08-18 13:03	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-02-22 16:58 . 2012-08-21 16:19	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-02-22 16:58 . 2012-08-18 13:03	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-02-23 18:21 . 2012-08-20 12:24	5148              c:\windows\system32\wdi\ERCQueuedResolutions.dat
+ 2010-05-04 15:29 . 2012-08-18 13:38	2214              c:\windows\system32\wdi\{b171ab1c-60e9-4301-a338-beab1c70b3e9}.bin
- 2012-08-18 13:36 . 2012-08-18 13:36	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-08-21 16:38 . 2012-08-21 16:38	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-08-21 16:38 . 2012-08-21 16:38	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-08-18 13:36 . 2012-08-18 13:36	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 02:36 . 2012-08-17 17:24	615760              c:\windows\system32\perfh009.dat
+ 2009-07-14 02:36 . 2012-08-18 23:11	615760              c:\windows\system32\perfh009.dat
+ 2009-07-14 17:58 . 2012-08-18 23:11	654096              c:\windows\system32\perfh007.dat
- 2009-07-14 17:58 . 2012-08-17 17:24	654096              c:\windows\system32\perfh007.dat
- 2009-07-14 02:36 . 2012-08-17 17:24	107396              c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2012-08-18 23:11	107396              c:\windows\system32\perfc009.dat
- 2009-07-14 17:58 . 2012-08-17 17:24	130952              c:\windows\system32\perfc007.dat
+ 2009-07-14 17:58 . 2012-08-18 23:11	130952              c:\windows\system32\perfc007.dat
- 2009-07-14 05:01 . 2012-08-18 13:09	449936              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2012-08-21 16:37	449936              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2012-02-20 18:55 . 2012-08-21 16:37	449936              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3307686048-1986362767-4140185705-1000-8192.dat
- 2012-02-20 18:55 . 2012-08-18 13:09	449936              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3307686048-1986362767-4140185705-1000-8192.dat
+ 2012-08-19 09:41 . 2012-08-19 09:41	449936              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3307686048-1986362767-4140185705-1000-12288.dat
+ 2009-07-14 02:34 . 2012-08-21 16:28	9961472              c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT
- 2009-07-14 02:34 . 2012-08-17 08:07	9961472              c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
R3 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-03-03 202752]
R3 AtiDCM;AtiDCM;c:\users\KunZ\AppData\Local\Temp\atdcm64a.sys [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-27 113120]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-25 834544]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-15 27760]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 191616]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-23 86224]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2010-03-03 6402560]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-03-03 188928]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-09-28 395264]
.
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.nachdenkseiten.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to DVD Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm
IE: Free YouTube to MP3 Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\
FF - prefs.js: browser.startup.homepage - hxxp://tu-clausthal.de
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2c,c3,99,59,87,46,15,3e,3a,84,c9,da,08,a8,2a,10,08,d8,e4,02,5c,67,84,
   74,14,89,26,0a,6e,74,dd,9c,3b,03,c9,ce,71,c1,f5,bb,dd,c6,16,9f,a4,9d,00,9f,\
"??"=hex:de,46,d7,f7,8c,9b,f3,8c,52,02,df,b0,73,38,aa,41
.
[HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\License information*]
"datasecu"=hex:ee,ed,f8,05,9f,e8,d4,50,dc,6b,67,6c,c0,e7,e7,88,76,89,f5,de,04,
   ed,84,4e,b5,c3,e5,8d,1f,49,78,68,38,be,ec,7d,42,0c,98,2a,11,80,2e,23,57,86,\
"rkeysecu"=hex:3b,25,8c,57,a5,9b,49,fa,69,84,2e,af,5e,ad,e0,58
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-21  18:49:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-21 16:49
ComboFix2.txt  2012-08-18 14:06
ComboFix3.txt  2012-08-18 13:40
.
Vor Suchlauf: 23 Verzeichnis(se), 26.476.630.016 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 26.586.435.584 Bytes frei
.
- - End Of File - - B5CA5264EE17AD6958F02528BC54EAD5
         

Malwarebytes Quick Scan:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.18.06

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
KunZ :: RITCHIE [Administrator]

21.08.2012 19:11:51
mbam-log-2012-08-21 (19-11-51).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 199835
Laufzeit: 2 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Mawarebytes vollständiger Scan:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.18.06

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
KunZ :: RITCHIE [Administrator]

21.08.2012 19:16:45
mlawarebyteslarge.txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 495861
Laufzeit: 53 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Qoobox\Quarantine\C\Users\KunZ\AppData\Local\Temp\wpbt0.dll.vir (Backdoor.Agent.HTAGen) -> Keine Aktion durchgeführt.

(Ende)
         

Hab das Vieh in dem Quarantine-Ordner von Malwarebytes entfernen lassen.

und dann ESET:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\KunZ\Desktop\EXTERN\SETS\Setups\daemon4123-lite.exe	Win32/Adware.Toolbar.Shopper application
C:\Users\KunZ\Downloads\Neuer Ordner (2)\Neuer Ordner\SoftonicDownloader38578.exe	a variant of Win32/SoftonicDownloader.A application
         

Die beiden Funde von ESET hab ich dann per Hand gelöscht und den Papierkorb geleert. Ich lass heut nochmal von Antivir,Malwarebytes und ESET checken aber ich glaub mein Freund hier vor mir ist wieder gesund....
Vielen Dank für deine Hilfe - ohne Dich wär ich niemals so weit gekommen! Ausserdem spinnt mein Java-Updater...er nervt mich ständig dass er updaten will und tut es dann (glaub ich) nicht - auch so ein potentielles Schlupfloch für kleine, dreckige und hässliche Programme sozial-inkompetenter Programmierer ....ich schweif ab. Ich werd mal gucken ob man das einfach deistallieren und neu draufziehen kann....

Nochmal vielen Dank für alles und mach Dir nen schönen Tag! Ich würd mich sehr freuen wieder von dir zu hören (lesen)

MfG KunZ

Hi

Du must dich leider noch etwas gedulden, mein Ausbilder muss noch etwas Wixhtiges abklären.

Danke für dein Verständnis

Hi

Danke für deine Geduld.
Das nenn ich mal aufrichtig. Danke für deine Klarstellung!

Die logs sind clean, wir sollten noch etwas absichern:


Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 6 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Schritt 2

Aktuelle IE-Version

• Downloade Dir bitte den Internet Explorer 9 von hier und installiere diesen.
  Auch wenn dieser nicht dein Standard-Browser ist, sollte sich die aktuelle Version am Rechner befinden. Es gibt noch genug Software die diesen zum Updaten verwendet.

Schritt 3

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.


Bitte poste in deiner nächsten Antwort

• OTL.txt & Extras.txt

Moin Christoph,
das Java-Problem hatte ich auch schon bemerkt und schon behoben....wollte das auch eigentlich hier schon geschrieben haben aber hab dann doch erstmal gewartet bis du wieder schreibs um hier nicht zuviel Aufmerksamkeit auf zuwenige Informationen zu ziehen....hab auch alles so gemacht, wie oben von dir beschrieben. Eine Frage hab ich da allerdings noch: Ich hab die neuste Java Version (V7U6) jetzt sowohl als 32- als auch als 64-bit version drauf (mein PC ist ein AMD 64 mit Win 7 64-Bit (Mozilla Firefox 14.0.1 (x86 de))) und jetzt die Frage: Ist das gut oder schlecht? Mich hat es eben irritiert....

Den IE hab ich jetzt auch endlich mal aktualisiert....hatte es bei euch schon gelesen und auch mal selbst die Erfahrung (hatte eine der früheren BKA-Trojaner: damals ist Firefox ausgegangen, IE angegangen und dann kam die Sperrung - das Ding wurde man noch relativ einfach "per Hand" los) gemacht, dass er eine Sicherheitslücke ist, wenn er nicht aktuell ist - ich dummes Schwein brauchte allerdings offenbar erst deine Anweisung, um zu handeln....danke an dich schonwieder!

Im Folgenden also die OTL-Logs

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 28.08.2012 19:24:14 - Run 3
OTL by OldTimer - Version 3.2.57.0     Folder = C:\Users\KunZ\Desktop
64bit- Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 69,59% Memory free
6,50 Gb Paging File | 5,44 Gb Available in Paging File | 83,79% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 148,95 Gb Total Space | 31,32 Gb Free Space | 21,03% Space Free | Partition Type: NTFS
 
Computer Name: RITCHIE | User Name: KunZ | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.08.17 18:20:22 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\KunZ\Desktop\OTL.exe
PRC - [2012.08.08 19:35:46 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.07.27 15:11:17 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
PRC - [2012.05.23 22:29:59 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.23 22:29:58 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.02.22 21:38:10 | 000,075,064 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe
PRC - [2009.04.14 08:45:30 | 000,604,704 | ---- | M] (Realtek Semiconductor Corp.) -- C:\Windows\SOUNDMAN.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.07.27 15:11:16 | 002,003,424 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2010.03.03 06:12:12 | 000,202,752 | ---- | M] (AMD) [On_Demand | Stopped] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2009.07.14 03:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2012.07.27 15:11:16 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.05.29 13:09:52 | 002,143,072 | ---- | M] (TuneUp Software) [Auto | Running] -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe -- (TuneUp.UtilitiesSvc)
SRV - [2012.05.23 22:29:59 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.23 22:29:58 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.22 21:38:10 | 000,075,064 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.05.23 22:29:59 | 000,132,832 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2012.05.23 22:29:59 | 000,098,848 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2011.12.15 16:00:00 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2010.05.07 17:46:22 | 000,314,016 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\atksgt.sys -- (atksgt)
DRV:64bit: - [2010.05.07 17:46:22 | 000,043,680 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\lirsgt.sys -- (lirsgt)
DRV:64bit: - [2010.04.25 16:12:54 | 000,834,544 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)
DRV:64bit: - [2010.03.03 06:23:10 | 006,402,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (atikmdag)
DRV:64bit: - [2010.03.03 06:23:10 | 006,402,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atipmdag.sys -- (amdkmdag)
DRV:64bit: - [2010.03.03 05:07:32 | 000,188,928 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)
DRV:64bit: - [2010.02.24 12:20:40 | 000,191,616 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\acedrv11.sys -- (acedrv11)
DRV:64bit: - [2010.01.01 19:20:28 | 000,034,472 | ---- | M] (Elaborate Bytes AG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\ElbyCDIO.sys -- (ElbyCDIO)
DRV:64bit: - [2009.09.28 10:22:00 | 000,395,264 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\yk62x64.sys -- (yukonw7)
DRV:64bit: - [2009.07.14 03:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2009.07.14 03:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 03:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2009.07.14 03:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.18 20:45:06 | 003,491,616 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\RTKVAC64.SYS -- (ALCXWDM)
DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2012.05.08 15:21:42 | 000,011,856 | ---- | M] (TuneUp Software) [Kernel | On_Demand | Running] -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys -- (TuneUpUtilitiesDrv)
DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nachdenkseiten.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 15 9E 01 33 D4 B3 CA 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://tu-clausthal.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.1
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.1.94
FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.1.94
FF - prefs.js..extensions.enabledItems: toolbar@web.de:1.7.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}:6.0.30
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_268.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.6.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.6.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.6.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.6.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\html5video [2011.03.09 02:12:47 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\wpa [2011.03.09 02:12:47 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.08.15 20:57:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.08.24 17:19:24 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.08.15 20:57:18 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.08.24 17:19:24 | 000,000,000 | ---D | M]
 
[2010.02.22 19:09:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\KunZ\AppData\Roaming\mozilla\Extensions
[2012.08.21 18:19:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\KunZ\AppData\Roaming\mozilla\Firefox\Profiles\0lk91peu.default\extensions
[2012.08.21 18:19:59 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\KunZ\AppData\Roaming\mozilla\Firefox\Profiles\0lk91peu.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2011.02.15 13:31:55 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\KunZ\AppData\Roaming\mozilla\Firefox\Profiles\0lk91peu.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012.08.10 01:18:26 | 000,000,853 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\11-suche.xml
[2012.08.10 01:18:26 | 000,002,209 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\englische-ergebnisse.xml
[2012.08.10 01:18:26 | 000,010,506 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\gmx-suche.xml
[2012.08.10 01:18:26 | 000,002,368 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\lastminute.xml
[2010.02.28 14:44:41 | 000,001,691 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\metager.xml
[2012.08.10 01:18:26 | 000,005,489 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\webde-suche.xml
[2012.02.20 20:51:58 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.08.10 01:18:19 | 000,526,409 | ---- | M] () (No name found) -- C:\USERS\KUNZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0LK91PEU.DEFAULT\EXTENSIONS\TOOLBAR@WEB.DE.XPI
[2012.07.27 15:11:17 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011.11.10 06:54:13 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2012.06.05 15:37:14 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.08.05 21:54:09 | 000,002,226 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012.06.05 15:37:14 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.06.05 15:37:14 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.05 15:37:14 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.05 15:37:14 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.05 15:37:14 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.08.18 15:09:00 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office12\GR469A~1.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4:64bit: - HKLM..\Run: [SoundMan] C:\Windows\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8:64bit: - Extra context menu item: Free YouTube Download - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O8:64bit: - Extra context menu item: Free YouTube to DVD Converter - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm ()
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Free YouTube Download - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O8 - Extra context menu item: Free YouTube to DVD Converter - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87ADC461-0B4B-4887-A696-0020EE7AD268}: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~2\Office12\GRA32A~1.DLL (Microsoft Corporation)
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~2\Office12\GR469A~1.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.28 19:17:26 | 000,916,456 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\deployJava1.dll
[2012.08.28 19:17:25 | 001,034,216 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\npDeployJava1.dll
[2012.08.28 19:17:25 | 000,289,768 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\javaws.exe
[2012.08.28 19:17:20 | 000,189,416 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\javaw.exe
[2012.08.28 19:17:20 | 000,188,904 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\java.exe
[2012.08.28 19:17:20 | 000,108,008 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\WindowsAccessBridge-64.dll
[2012.08.28 19:17:13 | 000,000,000 | ---D | C] -- C:\Program Files\Java
[2012.08.28 19:15:10 | 000,074,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\RegisterIEPKEYs.exe
[2012.08.28 19:15:09 | 003,695,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dat
[2012.08.28 19:15:09 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl
[2012.08.28 19:15:09 | 000,717,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2012.08.28 19:15:09 | 000,434,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dll
[2012.08.28 19:15:09 | 000,367,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\html.iec
[2012.08.28 19:15:09 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll
[2012.08.28 19:15:09 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2012.08.28 19:15:09 | 000,162,304 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msrating.dll
[2012.08.28 19:15:09 | 000,152,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\wextract.exe
[2012.08.28 19:15:09 | 000,150,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iexpress.exe
[2012.08.28 19:15:09 | 000,130,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieakeng.dll
[2012.08.28 19:15:09 | 000,118,784 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iepeers.dll
[2012.08.28 19:15:09 | 000,110,592 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\IEAdvpack.dll
[2012.08.28 19:15:09 | 000,086,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iesysprep.dll
[2012.08.28 19:15:09 | 000,078,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inseng.dll
[2012.08.28 19:15:09 | 000,076,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\SetIEInstalledDate.exe
[2012.08.28 19:15:09 | 000,074,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iesetup.dll
[2012.08.28 19:15:09 | 000,074,240 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ie4uinit.exe
[2012.08.28 19:15:09 | 000,073,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2012.08.28 19:15:09 | 000,066,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\icardie.dll
[2012.08.28 19:15:09 | 000,063,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\tdc.ocx
[2012.08.28 19:15:09 | 000,054,272 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\pngfilt.dll
[2012.08.28 19:15:09 | 000,048,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmler.dll
[2012.08.28 19:15:09 | 000,031,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iernonce.dll
[2012.08.28 19:15:09 | 000,023,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\licmgr10.dll
[2012.08.28 19:15:09 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msfeedssync.exe
[2012.08.28 19:15:08 | 002,312,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll
[2012.08.28 19:15:08 | 000,816,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2012.08.28 19:15:08 | 000,267,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieaksie.dll
[2012.08.28 19:15:08 | 000,227,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieaksie.dll
[2012.08.28 19:15:08 | 000,222,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msls31.dll
[2012.08.28 19:15:08 | 000,197,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msrating.dll
[2012.08.28 19:15:08 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieUnatt.exe
[2012.08.28 19:15:08 | 000,163,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieakui.dll
[2012.08.28 19:15:08 | 000,163,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieakui.dll
[2012.08.28 19:15:08 | 000,149,504 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\occache.dll
[2012.08.28 19:15:08 | 000,145,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iepeers.dll
[2012.08.28 19:15:08 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieUnatt.exe
[2012.08.28 19:15:08 | 000,135,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\IEAdvpack.dll
[2012.08.28 19:15:08 | 000,123,392 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\occache.dll
[2012.08.28 19:15:08 | 000,114,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\admparse.dll
[2012.08.28 19:15:08 | 000,101,888 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\admparse.dll
[2012.08.28 19:15:08 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\RegisterIEPKEYs.exe
[2012.08.28 19:15:08 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\pngfilt.dll
[2012.08.28 19:15:08 | 000,049,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\imgutil.dll
[2012.08.28 19:15:08 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshta.exe
[2012.08.28 19:15:08 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeedssync.exe
[2012.08.28 19:15:07 | 003,695,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dat
[2012.08.28 19:15:07 | 001,494,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl
[2012.08.28 19:15:07 | 000,697,344 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll
[2012.08.28 19:15:07 | 000,603,648 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll
[2012.08.28 19:15:07 | 000,534,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dll
[2012.08.28 19:15:07 | 000,452,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dxtmsft.dll
[2012.08.28 19:15:07 | 000,448,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\html.iec
[2012.08.28 19:15:07 | 000,282,112 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dxtrans.dll
[2012.08.28 19:15:07 | 000,248,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2012.08.28 19:15:07 | 000,237,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll
[2012.08.28 19:15:07 | 000,165,888 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iexpress.exe
[2012.08.28 19:15:07 | 000,160,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wextract.exe
[2012.08.28 19:15:07 | 000,160,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieakeng.dll
[2012.08.28 19:15:07 | 000,111,616 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iesysprep.dll
[2012.08.28 19:15:07 | 000,103,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inseng.dll
[2012.08.28 19:15:07 | 000,096,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2012.08.28 19:15:07 | 000,091,648 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\SetIEInstalledDate.exe
[2012.08.28 19:15:07 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ie4uinit.exe
[2012.08.28 19:15:07 | 000,085,504 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iesetup.dll
[2012.08.28 19:15:07 | 000,082,432 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\icardie.dll
[2012.08.28 19:15:07 | 000,076,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\tdc.ocx
[2012.08.28 19:15:07 | 000,048,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmler.dll
[2012.08.28 19:15:07 | 000,039,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iernonce.dll
[2012.08.28 19:15:07 | 000,030,720 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\licmgr10.dll
[2012.08.28 19:14:07 | 001,888,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\WMVDECOD.DLL
[2012.08.28 19:14:07 | 001,863,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ExplorerFrame.dll
[2012.08.28 19:14:07 | 001,837,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10warp.dll
[2012.08.28 19:14:07 | 001,619,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\WMVDECOD.DLL
[2012.08.28 19:14:07 | 001,540,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\DWrite.dll
[2012.08.28 19:14:07 | 001,495,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ExplorerFrame.dll
[2012.08.28 19:14:07 | 000,902,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\d2d1.dll
[2012.08.28 19:14:07 | 000,662,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\XpsPrint.dll
[2012.08.28 19:14:07 | 000,470,016 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\XpsGdiConverter.dll
[2012.08.28 19:14:07 | 000,320,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10_1core.dll
[2012.08.28 19:14:07 | 000,283,648 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsGdiConverter.dll
[2012.08.28 19:14:07 | 000,265,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\dxgmms1.sys
[2012.08.28 19:14:07 | 000,229,888 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\XpsRasterService.dll
[2012.08.28 19:14:07 | 000,197,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10_1.dll
[2012.08.28 19:14:07 | 000,144,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cdd.dll
[2012.08.28 19:14:07 | 000,135,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsRasterService.dll
[2012.08.28 19:14:06 | 004,068,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mf.dll
[2012.08.28 19:14:06 | 003,181,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mf.dll
[2012.08.28 19:14:06 | 000,442,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsPrint.dll
[2012.08.28 19:14:06 | 000,257,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mfreadwrite.dll
[2012.08.28 19:14:06 | 000,206,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mfps.dll
[2012.08.28 19:14:06 | 000,196,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mfreadwrite.dll
[2012.08.24 12:08:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Java
[2012.08.24 12:08:00 | 000,821,736 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\npDeployJava1.dll
[2012.08.24 12:08:00 | 000,246,760 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\javaws.exe
[2012.08.24 12:07:45 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\javaw.exe
[2012.08.24 12:07:45 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\java.exe
[2012.08.24 12:07:45 | 000,095,208 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\WindowsAccessBridge-32.dll
[2012.08.23 18:43:18 | 000,034,656 | ---- | C] (TuneUp Software) -- C:\Windows\SysNative\TURegOpt.exe
[2012.08.23 18:43:17 | 000,025,952 | ---- | C] (TuneUp Software) -- C:\Windows\SysNative\authuitu.dll
[2012.08.23 18:43:17 | 000,021,344 | ---- | C] (TuneUp Software) -- C:\Windows\SysWow64\authuitu.dll
[2012.08.23 18:43:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TuneUp Utilities 2012
[2012.08.23 18:42:50 | 000,000,000 | ---D | C] -- C:\Users\KunZ\AppData\Roaming\TuneUp Software
[2012.08.23 18:42:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\TuneUp Utilities 2012
[2012.08.23 18:42:12 | 000,000,000 | ---D | C] -- C:\ProgramData\TuneUp Software
[2012.08.23 18:42:03 | 000,000,000 | -HSD | C] -- C:\ProgramData\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2012.08.23 18:42:03 | 000,000,000 | -H-D | C] -- C:\ProgramData\Common Files
[2012.08.21 18:49:28 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012.08.21 18:38:37 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN
[2012.08.21 18:28:26 | 000,000,000 | ---D | C] -- C:\Users\KunZ\Desktop\neuer versuch
[2012.08.18 21:43:33 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012.08.18 21:42:52 | 002,322,184 | ---- | C] (ESET) -- C:\Users\KunZ\Desktop\esetsmartinstaller_enu.exe
[2012.08.18 15:01:19 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2012.08.18 15:01:19 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2012.08.18 15:01:19 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2012.08.18 15:01:11 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.08.18 15:00:57 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012.08.18 14:56:46 | 004,733,838 | R--- | C] (Swearware) -- C:\Users\KunZ\Desktop\ComboFix.exe
[2012.08.17 19:49:53 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012.08.17 19:23:17 | 000,000,000 | ---D | C] -- C:\Users\KunZ\AppData\Roaming\Malwarebytes
[2012.08.17 19:23:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.08.17 19:23:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.08.17 19:22:59 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.08.17 19:22:59 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.08.17 18:30:05 | 000,596,992 | ---- | C] (OldTimer Tools) -- C:\Users\KunZ\Desktop\OTL.exe
[2012.08.16 01:03:17 | 000,000,000 | ---D | C] -- C:\Users\KunZ\AppData\Roaming\Apple Computer
[2012.08.15 20:57:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
[2012.08.15 20:56:59 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\QuickTime
[2012.08.15 20:56:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple Computer
[2012.08.15 20:56:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Apple
[2012.08.15 20:56:04 | 000,000,000 | ---D | C] -- C:\Users\KunZ\AppData\Local\Apple
[2012.08.15 20:56:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple
[2012.08.08 19:40:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.28 19:28:38 | 000,014,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.28 19:28:38 | 000,014,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.28 19:20:16 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.08.28 19:17:15 | 000,108,008 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\WindowsAccessBridge-64.dll
[2012.08.28 19:17:14 | 001,034,216 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\npDeployJava1.dll
[2012.08.28 19:17:14 | 000,916,456 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\deployJava1.dll
[2012.08.28 19:17:14 | 000,289,768 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaws.exe
[2012.08.28 19:17:14 | 000,189,416 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaw.exe
[2012.08.28 19:17:14 | 000,188,904 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\java.exe
[2012.08.28 19:15:10 | 000,074,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\RegisterIEPKEYs.exe
[2012.08.28 19:15:09 | 003,695,416 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dat
[2012.08.28 19:15:09 | 001,427,968 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl
[2012.08.28 19:15:09 | 000,717,824 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2012.08.28 19:15:09 | 000,434,176 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dll
[2012.08.28 19:15:09 | 000,367,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\html.iec
[2012.08.28 19:15:09 | 000,231,936 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll
[2012.08.28 19:15:09 | 000,176,640 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2012.08.28 19:15:09 | 000,162,304 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\msrating.dll
[2012.08.28 19:15:09 | 000,152,064 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\wextract.exe
[2012.08.28 19:15:09 | 000,150,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iexpress.exe
[2012.08.28 19:15:09 | 000,130,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieakeng.dll
[2012.08.28 19:15:09 | 000,118,784 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iepeers.dll
[2012.08.28 19:15:09 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\IEAdvpack.dll
[2012.08.28 19:15:09 | 000,086,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iesysprep.dll
[2012.08.28 19:15:09 | 000,078,848 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\inseng.dll
[2012.08.28 19:15:09 | 000,076,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\SetIEInstalledDate.exe
[2012.08.28 19:15:09 | 000,074,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iesetup.dll
[2012.08.28 19:15:09 | 000,074,240 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ie4uinit.exe
[2012.08.28 19:15:09 | 000,073,216 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2012.08.28 19:15:09 | 000,072,822 | ---- | M] () -- C:\Windows\SysWow64\ieuinit.inf
[2012.08.28 19:15:09 | 000,066,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\icardie.dll
[2012.08.28 19:15:09 | 000,063,488 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\tdc.ocx
[2012.08.28 19:15:09 | 000,054,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\pngfilt.dll
[2012.08.28 19:15:09 | 000,048,640 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmler.dll
[2012.08.28 19:15:09 | 000,031,744 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iernonce.dll
[2012.08.28 19:15:09 | 000,023,552 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\licmgr10.dll
[2012.08.28 19:15:09 | 000,010,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\msfeedssync.exe
[2012.08.28 19:15:08 | 002,312,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll
[2012.08.28 19:15:08 | 000,816,640 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2012.08.28 19:15:08 | 000,267,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieaksie.dll
[2012.08.28 19:15:08 | 000,227,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieaksie.dll
[2012.08.28 19:15:08 | 000,222,208 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\msls31.dll
[2012.08.28 19:15:08 | 000,197,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\msrating.dll
[2012.08.28 19:15:08 | 000,173,056 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieUnatt.exe
[2012.08.28 19:15:08 | 000,163,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieakui.dll
[2012.08.28 19:15:08 | 000,163,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieakui.dll
[2012.08.28 19:15:08 | 000,149,504 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\occache.dll
[2012.08.28 19:15:08 | 000,145,920 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iepeers.dll
[2012.08.28 19:15:08 | 000,142,848 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieUnatt.exe
[2012.08.28 19:15:08 | 000,135,168 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\IEAdvpack.dll
[2012.08.28 19:15:08 | 000,123,392 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\occache.dll
[2012.08.28 19:15:08 | 000,114,176 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\admparse.dll
[2012.08.28 19:15:08 | 000,101,888 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\admparse.dll
[2012.08.28 19:15:08 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\RegisterIEPKEYs.exe
[2012.08.28 19:15:08 | 000,065,024 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\pngfilt.dll
[2012.08.28 19:15:08 | 000,049,664 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\imgutil.dll
[2012.08.28 19:15:08 | 000,012,288 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mshta.exe
[2012.08.28 19:15:08 | 000,010,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\msfeedssync.exe
[2012.08.28 19:15:07 | 003,695,416 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dat
[2012.08.28 19:15:07 | 001,494,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl
[2012.08.28 19:15:07 | 000,697,344 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll
[2012.08.28 19:15:07 | 000,603,648 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll
[2012.08.28 19:15:07 | 000,534,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dll
[2012.08.28 19:15:07 | 000,452,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\dxtmsft.dll
[2012.08.28 19:15:07 | 000,448,512 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\html.iec
[2012.08.28 19:15:07 | 000,282,112 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\dxtrans.dll
[2012.08.28 19:15:07 | 000,248,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2012.08.28 19:15:07 | 000,237,056 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll
[2012.08.28 19:15:07 | 000,165,888 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iexpress.exe
[2012.08.28 19:15:07 | 000,160,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\wextract.exe
[2012.08.28 19:15:07 | 000,160,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieakeng.dll
[2012.08.28 19:15:07 | 000,111,616 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iesysprep.dll
[2012.08.28 19:15:07 | 000,103,936 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\inseng.dll
[2012.08.28 19:15:07 | 000,096,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2012.08.28 19:15:07 | 000,091,648 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\SetIEInstalledDate.exe
[2012.08.28 19:15:07 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ie4uinit.exe
[2012.08.28 19:15:07 | 000,085,504 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iesetup.dll
[2012.08.28 19:15:07 | 000,082,432 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\icardie.dll
[2012.08.28 19:15:07 | 000,076,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\tdc.ocx
[2012.08.28 19:15:07 | 000,072,822 | ---- | M] () -- C:\Windows\SysNative\ieuinit.inf
[2012.08.28 19:15:07 | 000,048,640 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmler.dll
[2012.08.28 19:15:07 | 000,039,936 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iernonce.dll
[2012.08.28 19:15:07 | 000,030,720 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\licmgr10.dll
[2012.08.28 19:14:07 | 001,888,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\WMVDECOD.DLL
[2012.08.28 19:14:07 | 001,863,680 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ExplorerFrame.dll
[2012.08.28 19:14:07 | 001,837,568 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10warp.dll
[2012.08.28 19:14:07 | 001,619,456 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\WMVDECOD.DLL
[2012.08.28 19:14:07 | 001,540,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\DWrite.dll
[2012.08.28 19:14:07 | 001,495,040 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ExplorerFrame.dll
[2012.08.28 19:14:07 | 000,902,656 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\d2d1.dll
[2012.08.28 19:14:07 | 000,662,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\XpsPrint.dll
[2012.08.28 19:14:07 | 000,470,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\XpsGdiConverter.dll
[2012.08.28 19:14:07 | 000,320,512 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10_1core.dll
[2012.08.28 19:14:07 | 000,283,648 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsGdiConverter.dll
[2012.08.28 19:14:07 | 000,265,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\dxgmms1.sys
[2012.08.28 19:14:07 | 000,229,888 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\XpsRasterService.dll
[2012.08.28 19:14:07 | 000,197,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10_1.dll
[2012.08.28 19:14:07 | 000,144,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\cdd.dll
[2012.08.28 19:14:07 | 000,135,168 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsRasterService.dll
[2012.08.28 19:14:06 | 004,068,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mf.dll
[2012.08.28 19:14:06 | 003,181,568 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\mf.dll
[2012.08.28 19:14:06 | 000,442,880 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsPrint.dll
[2012.08.28 19:14:06 | 000,257,024 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mfreadwrite.dll
[2012.08.28 19:14:06 | 000,206,848 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mfps.dll
[2012.08.28 19:14:06 | 000,196,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\mfreadwrite.dll
[2012.08.27 17:02:03 | 001,501,000 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.08.27 17:02:03 | 000,654,096 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.08.27 17:02:03 | 000,615,760 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.08.27 17:02:03 | 000,130,952 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.08.27 17:02:03 | 000,107,396 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.08.24 12:07:34 | 000,095,208 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\WindowsAccessBridge-32.dll
[2012.08.24 12:07:33 | 000,821,736 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\npDeployJava1.dll
[2012.08.24 12:07:33 | 000,746,984 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\deployJava1.dll
[2012.08.24 12:07:33 | 000,246,760 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\javaws.exe
[2012.08.24 12:07:33 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\javaw.exe
[2012.08.24 12:07:33 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\java.exe
[2012.08.23 18:43:02 | 000,002,213 | ---- | M] () -- C:\Users\Public\Desktop\TuneUp 1-Klick-Wartung.lnk
[2012.08.23 18:43:02 | 000,002,193 | ---- | M] () -- C:\Users\Public\Desktop\TuneUp Utilities 2012.lnk
[2012.08.18 21:42:57 | 002,322,184 | ---- | M] (ESET) -- C:\Users\KunZ\Desktop\esetsmartinstaller_enu.exe
[2012.08.18 15:09:00 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2012.08.18 14:51:32 | 004,733,838 | R--- | M] (Swearware) -- C:\Users\KunZ\Desktop\ComboFix.exe
[2012.08.17 19:23:01 | 000,001,113 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.08.17 18:30:57 | 000,000,020 | ---- | M] () -- C:\Users\KunZ\defogger_reenable
[2012.08.17 18:20:22 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\KunZ\Desktop\OTL.exe
[2012.08.17 18:20:02 | 000,050,477 | ---- | M] () -- C:\Users\KunZ\Desktop\Defogger.exe
[2012.08.08 19:40:18 | 000,002,070 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
 
========== Files Created - No Company Name ==========
 
[2012.08.28 19:15:09 | 000,072,822 | ---- | C] () -- C:\Windows\SysWow64\ieuinit.inf
[2012.08.28 19:15:07 | 000,072,822 | ---- | C] () -- C:\Windows\SysNative\ieuinit.inf
[2012.08.23 18:43:02 | 000,002,213 | ---- | C] () -- C:\Users\Public\Desktop\TuneUp 1-Klick-Wartung.lnk
[2012.08.23 18:43:02 | 000,002,205 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TuneUp Utilities 2012.lnk
[2012.08.23 18:43:02 | 000,002,193 | ---- | C] () -- C:\Users\Public\Desktop\TuneUp Utilities 2012.lnk
[2012.08.18 15:01:19 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2012.08.18 15:01:19 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2012.08.18 15:01:19 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2012.08.18 15:01:19 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2012.08.18 15:01:19 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2012.08.17 19:23:01 | 000,001,113 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.08.17 18:30:57 | 000,000,020 | ---- | C] () -- C:\Users\KunZ\defogger_reenable
[2012.08.17 18:30:13 | 000,050,477 | ---- | C] () -- C:\Users\KunZ\Desktop\Defogger.exe
[2012.05.19 20:42:42 | 000,000,530 | ---- | C] () -- C:\Windows\eReg.dat
[2011.04.29 20:16:41 | 000,000,001 | ---- | C] () -- C:\Windows\SysWow64\SI.bin
[2011.02.24 15:02:32 | 000,085,504 | ---- | C] () -- C:\Windows\SysWow64\ff_vfw.dll
[2010.11.17 15:48:00 | 000,000,092 | ---- | C] () -- C:\Users\KunZ\AppData\Local\fusioncache.dat
[2010.11.17 15:44:30 | 000,000,032 | ---- | C] () -- C:\Windows\EvMoveW.INI
[2010.10.21 18:19:08 | 000,000,057 | ---- | C] () -- C:\Windows\rocksoft.ini
[2010.10.19 16:00:06 | 000,000,085 | -HS- | C] () -- C:\ProgramData\.zreglib
[2010.10.13 15:19:25 | 000,000,095 | ---- | C] () -- C:\Users\KunZ\psv.ini
[2010.10.12 11:15:34 | 001,526,730 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2010.05.31 20:57:01 | 000,029,450 | ---- | C] () -- C:\Users\KunZ\AppData\Roaming\OFMissionEditorConfig.xml
[2010.04.10 14:07:16 | 000,007,598 | ---- | C] () -- C:\Users\KunZ\AppData\Local\Resmon.ResmonCfg

< End of report >
         

und Extras:

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 28.08.2012 19:24:14 - Run 3
OTL by OldTimer - Version 3.2.57.0     Folder = C:\Users\KunZ\Desktop
64bit- Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 69,59% Memory free
6,50 Gb Paging File | 5,44 Gb Available in Paging File | 83,79% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 148,95 Gb Total Space | 31,32 Gb Free Space | 21,03% Space Free | Partition Type: NTFS
 
Computer Name: RITCHIE | User Name: KunZ | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1" (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1 (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~2\Office12\ONENOTE.EXE "%L"
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~2\Office12\ONENOTE.EXE "%L"
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
========== Firewall Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{000C52A9-7DBB-47C3-AC31-7DFAEA9C9C52}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{02E3178F-9271-4C48-9C78-7AE2C8AF78FE}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{06E3AA16-3BCC-4EFC-995A-6EDCB98782FF}" = lport=445 | protocol=6 | dir=in | app=system | 
"{1045D52B-C9E1-455D-B00A-7194242C57DB}" = rport=139 | protocol=6 | dir=out | app=system | 
"{26CC50AC-A8B9-40B0-9E79-4F07C629D485}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{3BE01CDE-59CF-4D40-BD30-CBBA9200FABB}" = rport=137 | protocol=17 | dir=out | app=system | 
"{3D3BE046-4D0B-4E58-855A-44E1F718ADF9}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{6EEB4E10-2F58-421B-9F11-583820FA4C67}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{7688FBBE-F4A7-486C-A5A3-CD7D0BAA3F48}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{77A21B49-0161-4459-87B3-D672ED044BC1}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{7AE0E2A2-579C-4DC5-8C27-3040CA767675}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{8744DEB7-C0F2-4AC2-8018-8AD32EA19365}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{8C06F7BE-9182-4CE2-88B1-E348A87C78D5}" = lport=138 | protocol=17 | dir=in | app=system | 
"{8D5074B3-6A19-4791-949E-BA6668726E2D}" = rport=138 | protocol=17 | dir=out | app=system | 
"{9D2BBBCB-063D-40EE-91E9-3D29C2E9D84E}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{A69EB0BC-29FB-4A93-A2BC-72FD43664E45}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{AF6C134F-0542-44CF-A8F0-640413DC5588}" = lport=139 | protocol=6 | dir=in | app=system | 
"{C07B3F33-6F73-40EF-9CDC-A36BE54112DD}" = lport=137 | protocol=17 | dir=in | app=system | 
"{DCAC9131-B938-428F-BEFE-9FE34B9BF67C}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{E23E575C-6DB9-4314-8FE4-9C1E0A9C1D7B}" = rport=445 | protocol=6 | dir=out | app=system | 
"{E81F88D6-0860-438B-AC2D-FDDD9267E82E}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\outlook.exe | 
"{F4437E71-B145-47A5-992B-33778375B2AC}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{FC365572-8D3A-4875-B68D-4E32487167D8}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{15BAAD19-1EA1-4D99-BD9A-E11174B9C071}" = protocol=17 | dir=in | app=c:\users\kunz\downloads\flvplayer_setup.exe | 
"{216D41C6-DC42-49C8-BF48-1D633885FFB0}" = protocol=6 | dir=in | app=c:\users\kunz\downloads\flvplayer_setup.exe | 
"{22DE7920-E408-4F44-B527-483079A7FD65}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe | 
"{2D4EB8A3-3C7D-467C-B80F-036D5A1C537F}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\groove.exe | 
"{38DC215D-1BAE-4E77-8AD5-32B3B7876D83}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{3EFE38DB-4878-42EA-AEEC-4AB8CA723589}" = protocol=17 | dir=in | app=c:\games\ea games\battlefield 2\bf2.exe | 
"{41A9B283-FF79-490A-A9D8-2E518866B5C4}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{45EEF9A4-C46F-4A4A-A704-E3C906DAD765}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{4BD0F51C-4203-4EEB-980E-36E7273F1263}" = protocol=6 | dir=in | app=c:\games\coh\relicdownloader\relicdownloader.exe | 
"{5445862B-94C4-47AA-A28F-339F943D2697}" = protocol=6 | dir=in | app=c:\games\coh\reliccoh.exe | 
"{56ADF852-20B4-4442-899C-935EE5403034}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{57036B3D-D663-4CD5-A28C-A226CC584D24}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{5F2FD2ED-28E1-4D0A-8AB5-077101AAE862}" = protocol=6 | dir=in | app=c:\games\ea games\battlefield 2\bf2.exe | 
"{675C7C95-55E8-4681-885D-676E76EBABD6}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{6B89E224-D751-4CA8-B299-759A5E013386}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{6ED318BD-33D7-467D-8938-30FE5D3A00AD}" = protocol=17 | dir=in | app=c:\games\anno\anno5.exe | 
"{713C6A4B-F1D2-497D-A7BE-E6632FD8A62D}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe | 
"{733CA45C-B888-44C9-A5D8-747405E9776D}" = protocol=6 | dir=in | app=c:\program files (x86)\ubisoft\ubisoft game launcher\ubisoftgamelauncher.exe | 
"{7880E0B2-F135-4C60-AB44-BC45A2729079}" = protocol=6 | dir=in | app=c:\games\anno\initengine.exe | 
"{7C1B79AB-DA02-4359-8331-8B33A7A01A7C}" = protocol=17 | dir=in | app=c:\games\coh\reliccoh.exe | 
"{832A00D3-F14B-4BFD-87A0-C1FCBF9022B7}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{84DC69E0-157D-4DFE-9155-C0246DD4B90E}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{866F4CE4-78BE-496C-8581-135FBC091CDA}" = protocol=17 | dir=in | app=c:\games\anno\initengine.exe | 
"{B056C0A7-43F6-4B36-A32C-175F067F8664}" = protocol=17 | dir=in | app=c:\games\coh\relicdownloader\relicdownloader.exe | 
"{B9826E10-EBFE-40EF-A02A-FF75C72734D7}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{B9DAD770-4B5D-442F-AAEF-E56B5B10F3D0}" = protocol=6 | dir=in | app=c:\games\anno\anno5.exe | 
"{BA94E907-5247-468E-84C9-ADEEC8D37DFE}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{BB7045EA-E9FE-4628-9108-B438BFAC64B5}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office12\groove.exe | 
"{BF4124BB-1E12-454A-9F28-A61593F011AC}" = protocol=6 | dir=in | app=c:\games\anno\autopatcher.exe | 
"{CE666266-4D86-4E1C-A05A-42A3F8989E5C}" = dir=in | app=c:\program files (x86)\common files\apple\apple application support\webkit2webprocess.exe | 
"{D62754D0-389E-4A4D-8D0A-539684340F08}" = protocol=17 | dir=in | app=c:\games\anno\autopatcher.exe | 
"{FD5DBBA0-255B-44EE-9AE3-9AFF08FB1317}" = protocol=17 | dir=in | app=c:\program files (x86)\ubisoft\ubisoft game launcher\ubisoftgamelauncher.exe | 
"TCP Query User{04A1CC5F-5A22-4A99-A6EF-22AB4D166EB1}C:\games\aoe\age3.exe" = protocol=6 | dir=in | app=c:\games\aoe\age3.exe | 
"TCP Query User{0533C72C-F123-4068-BD61-FA16FBB5F375}F:\sets\setups\utorrent.exe" = protocol=6 | dir=in | app=f:\sets\setups\utorrent.exe | 
"TCP Query User{2957A5C5-587D-44E4-91C1-15DA6E67D67C}J:\sets\setups\utorrent.exe" = protocol=6 | dir=in | app=j:\sets\setups\utorrent.exe | 
"TCP Query User{59DAE0EF-F039-4E9F-98F6-FA107C5FCA44}C:\games\coh\relicdownloader\relicdownloader.exe" = protocol=6 | dir=in | app=c:\games\coh\relicdownloader\relicdownloader.exe | 
"TCP Query User{87EDC1E8-8D08-4602-A199-42A26CF36BE6}C:\games\cstrike\hl2.exe" = protocol=6 | dir=in | app=c:\games\cstrike\hl2.exe | 
"TCP Query User{AF9BCD35-1090-45A6-AF64-41B79BBC53AE}C:\users\kunz\appdata\local\temp\efc077e8ff8b41f98e85933f4e84bf7d\relicdownloader.exe" = protocol=6 | dir=in | app=c:\users\kunz\appdata\local\temp\efc077e8ff8b41f98e85933f4e84bf7d\relicdownloader.exe | 
"TCP Query User{AF9E0977-19D3-4B1C-8E0B-C44C4FBEE5F8}C:\games\coh\reliccoh.exe" = protocol=6 | dir=in | app=c:\games\coh\reliccoh.exe | 
"TCP Query User{B000D3B1-1466-4AD8-909E-F28153DE4684}C:\program files (x86)\controltoolbox\modbus plant simulator\modbus plant simulator.exe" = protocol=6 | dir=in | app=c:\program files (x86)\controltoolbox\modbus plant simulator\modbus plant simulator.exe | 
"TCP Query User{BE7451C5-0DBE-477C-A4A2-ACB29CD5AA30}C:\games\splintercell\scda-offline\system\splintercell4.exe" = protocol=6 | dir=in | app=c:\games\splintercell\scda-offline\system\splintercell4.exe | 
"TCP Query User{C2F763D3-6658-499D-8222-1F4C3996B4F2}C:\games\fsw\fsw2.exe" = protocol=6 | dir=in | app=c:\games\fsw\fsw2.exe | 
"TCP Query User{D341AA63-85F7-4F38-90A1-1FAA1458342D}J:\sets\setups\utorrent.exe" = protocol=6 | dir=in | app=j:\sets\setups\utorrent.exe | 
"TCP Query User{EA07C6E5-DA66-420C-8796-AE77DA2E0D98}C:\games\splintercell\scda-online\system\scda_online.exe" = protocol=6 | dir=in | app=c:\games\splintercell\scda-online\system\scda_online.exe | 
"TCP Query User{F7265604-4990-4C8C-8ABC-0B1486815475}C:\program files (x86)\microsoft games\rise of nations\patriots.exe" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft games\rise of nations\patriots.exe | 
"TCP Query User{FEC9B6EF-4418-4D89-841C-1F3899B2DEA8}C:\games\splintercell\src\system\uplaybrowser.exe" = protocol=6 | dir=in | app=c:\games\splintercell\src\system\uplaybrowser.exe | 
"UDP Query User{01B14D4B-6E44-4066-B7F1-F539AE257CCE}C:\program files (x86)\controltoolbox\modbus plant simulator\modbus plant simulator.exe" = protocol=17 | dir=in | app=c:\program files (x86)\controltoolbox\modbus plant simulator\modbus plant simulator.exe | 
"UDP Query User{04B79BD6-BB97-4A42-94F4-157CB9F1DAFE}C:\games\splintercell\scda-offline\system\splintercell4.exe" = protocol=17 | dir=in | app=c:\games\splintercell\scda-offline\system\splintercell4.exe | 
"UDP Query User{073F9DF5-AAB7-47DE-AAFC-611E4970C22F}C:\games\aoe\age3.exe" = protocol=17 | dir=in | app=c:\games\aoe\age3.exe | 
"UDP Query User{389426E0-737E-4B2A-BFDC-8CF3392EB6A4}J:\sets\setups\utorrent.exe" = protocol=17 | dir=in | app=j:\sets\setups\utorrent.exe | 
"UDP Query User{3D061904-20C5-497A-90E5-2936FB80DCC5}C:\games\splintercell\src\system\uplaybrowser.exe" = protocol=17 | dir=in | app=c:\games\splintercell\src\system\uplaybrowser.exe | 
"UDP Query User{66E98741-6114-4BEF-91D6-FF856E944D7E}C:\games\coh\reliccoh.exe" = protocol=17 | dir=in | app=c:\games\coh\reliccoh.exe | 
"UDP Query User{6ECC425E-8831-4121-A601-803988281611}C:\games\splintercell\scda-online\system\scda_online.exe" = protocol=17 | dir=in | app=c:\games\splintercell\scda-online\system\scda_online.exe | 
"UDP Query User{6F6A5899-17D1-4E89-99AA-D5FC7E8B21FB}C:\games\coh\relicdownloader\relicdownloader.exe" = protocol=17 | dir=in | app=c:\games\coh\relicdownloader\relicdownloader.exe | 
"UDP Query User{7089674D-6CC1-40AB-8D6B-2E37CDBFED77}C:\users\kunz\appdata\local\temp\efc077e8ff8b41f98e85933f4e84bf7d\relicdownloader.exe" = protocol=17 | dir=in | app=c:\users\kunz\appdata\local\temp\efc077e8ff8b41f98e85933f4e84bf7d\relicdownloader.exe | 
"UDP Query User{78EEE895-321C-412C-8E01-015E4636438B}F:\sets\setups\utorrent.exe" = protocol=17 | dir=in | app=f:\sets\setups\utorrent.exe | 
"UDP Query User{82B51467-A996-48EA-A6AB-619A006C61CE}J:\sets\setups\utorrent.exe" = protocol=17 | dir=in | app=j:\sets\setups\utorrent.exe | 
"UDP Query User{B68DC89C-207E-4CB5-93A0-734B55C20323}C:\games\cstrike\hl2.exe" = protocol=17 | dir=in | app=c:\games\cstrike\hl2.exe | 
"UDP Query User{D182AA96-17F9-49BB-9C1E-5FA68C716864}C:\games\fsw\fsw2.exe" = protocol=17 | dir=in | app=c:\games\fsw\fsw2.exe | 
"UDP Query User{DA14DCDD-A622-475D-B41D-AA7359BD1841}C:\program files (x86)\microsoft games\rise of nations\patriots.exe" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft games\rise of nations\patriots.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{08194E86-10BE-C749-8D43-E6ECBF44248E}" = ccc-utility64
"{26A24AE4-039D-4CA4-87B4-2F86417006FF}" = Java 7 Update 6 (64-bit)
"{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"{CB3BA3C7-FEDF-D48C-E023-72231B3D86E3}" = ATI Catalyst Install Manager
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"WinRAR archiver" = WinRAR
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{02A10468-2F1C-447C-AD8E-4DEDDEA25AE2}" = Medieval II Total War : Kingdoms : Crusades
"{0E64B098-8018-4256-BA23-C316A43AD9B0}" = QuickTime
"{14574B7F-75D1-4718-B7F2-EBF6E2862A35}" = Company of Heroes - FAKEMSI
"{14C87AA7-08E6-419F-A165-998EBE5023D7}" = Oblivion - Knights of the Nine
"{16D919E6-F019-4E15-BFBE-4A85EF19DA57}" = Oblivion - Spell Tomes
"{199E6632-EB28-4F73-AECB-3E192EB92D18}" = Company of Heroes - FAKEMSI
"{1BF43B74-1EDE-060E-A612-56A116A381F8}" = Catalyst Control Center Core Implementation
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{25724802-CC14-4B90-9F3B-3D6955EE27B1}" = Company of Heroes - FAKEMSI
"{26A24AE4-039D-4CA4-87B4-2F83217006FF}" = Java 7 Update 6
"{2F2E3D62-8B8C-448F-8900-451325E50948}" = Oblivion - Wizard's Tower
"{32364CEA-7855-4A3C-B674-53D8E9B97936}" = TuneUp Utilities 2012
"{32C4A4EB-C97D-414E-99C5-38F8DFD31D5D}" = Company of Heroes - FAKEMSI
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{3ABEBD00-299D-4DCA-967F-B912163AB5EA}" = Oblivion - Horse Armor Pack
"{3F0D0ABE-CDAF-431A-00BC-CBBE018EA74E}" = SimCity 4 Deluxe
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{43EB7D36-32F9-CE19-6F1D-B59BDBA942AE}" = Catalyst Control Center InstallProxy
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4E2CD272-0F2F-98EA-9596-510EF0D24E28}" = ccc-core-static
"{50193078-F553-4EBA-AA77-64C9FAA12F98}" = Company of Heroes - FAKEMSI
"{51D718D1-DA81-4FAD-919F-5C1CE3C33379}" = Company of Heroes - FAKEMSI
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{66F78C51-D108-4F0C-A93C-1CBE74CE338F}" = Company of Heroes - FAKEMSI
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{72C02F89-9E8E-2DBD-11D7-EB5F075FE081}" = Catalyst Control Center Graphics Previews Common
"{75983B66-804C-40D1-BA13-64DAF652A6F1}" = Medieval II Total War : Kingdoms : Americas
"{7AEE1963-7001-4C37-BC20-2FAEB74AA41C}" = Medieval II Total War : Kingdoms : Teutonic
"{7F4B1592-222F-4E5F-A100-E5AFD61A0BB3}" = Company of Heroes - FAKEMSI
"{80D03817-7943-4839-8E96-B9F924C5E67D}" = Company of Heroes - FAKEMSI
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{888F1505-C2B3-4FDE-835D-36353EBD4754}" = Ubisoft Game Launcher
"{89661B04-C646-4412-B6D3-5E19F02F1F37}" = EAX4 Unified Redist
"{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{97E5205F-EA4F-438F-B211-F1846419F1C1}" = Company of Heroes - FAKEMSI
"{99A7722D-9ACB-43F3-A222-ABC7133F159E}" = Company of Heroes - FAKEMSI
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9DD16C0E-B9E7-417C-0C30-E57916C353E3}" = CCC Help English
"{A1E1D1EE-3F04-CC1A-8498-0D48463F579D}" = Catalyst Control Center Localization All
"{A680643A-1155-02F6-6B29-BF4FBA1190E8}" = Catalyst Control Center Graphics Full Existing
"{ABB6F00C-9722-82C2-FE1E-893313CCF612}" = Catalyst Control Center Graphics Light
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch
"{B04836D8-4170-D430-6297-3DD084AAEC09}" = Catalyst Control Center Graphics Full New
"{BA801B94-C28D-46EE-B806-E1E021A3D519}" = Company of Heroes - FAKEMSI
"{BCC78381-4B63-5352-BF57-BDBF7A77823A}" = Catalyst Control Center HydraVision Full
"{C0698BDA-0D29-40EE-8570-A31106DF9AB1}" = Medieval II Total War
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240BB}" = WinZip 14.0
"{CE026CFE-73FE-4FED-9D5F-2C8D4DB512B0}" = TuneUp Utilities Language Pack (de-DE)
"{CEDDEE73-3D36-41C2-AA40-29355D9FBD63}" = Medieval II Total War : Kingdoms : Britannia
"{D4D244D1-05E0-4D24-86A2-B2433C435671}" = Company of Heroes - FAKEMSI
"{EAF636A9-F664-4703-A659-85A894DA264F}" = Company of Heroes - FAKEMSI
"{EB879750-CCBD-4013-BFD5-0294D4DA5BD0}" = Apple Application Support
"{EC425CFC-EE78-4A91-AA25-3BFA65B75364}" = Oblivion - Orrery
"{EE02955B-74BC-3995-6B67-2A9D1651D4F5}" = Catalyst Control Center Graphics Previews Vista
"{EF295F5C-7B57-47AA-8889-6B3E8E214E89}" = Oblivion - Mehrunes Razor
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F9835182-794B-4F24-902A-E2CA9D43380F}" = NVIDIA PhysX
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FB79092D-A19D-45D4-9CCF-C7B26372710D}" = Modbus Plant Simulator
"{FFFFFD17-B460-41EB-93F1-C48ABAD63828}" = Oblivion - Thieves Den
"AC3 Decoder" = AC3 Decoder
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"Blitzkrieg" = Blitzkrieg Mod
"CloneDVD2" = CloneDVD2
"Company of Heroes" = Company of Heroes
"DivX Setup.divx.com" = DivX-Setup
"DVD Shrink_is1" = DVD Shrink 3.2
"ENTERPRISE" = Microsoft Office Enterprise 2007
"ESET Online Scanner" = ESET Online Scanner v3
"FLV Player" = FLV Player 2.0 (build 25)
"Free Studio_is1" = Free Studio version 5.0.4
"Free YouTube to DVD Converter_is1" = Free YouTube to DVD Converter version 3.0.7.1228
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.15.1228
"InstaCodecs_is1" = InstaCodecs
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"RiseOfNations 1.0" = Microsoft Rise Of Nations
"RiseofNationsExpansion 1.0" = Rise of Nations Thrones and Patriots
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeXnicCenter_is1" = TeXnicCenter Version 1.0 Stable RC1
"Tropico3" = Tropico 3 1.00
"TuneUp Utilities 2012" = TuneUp Utilities 2012
"Uninstall_is1" = Uninstall 1.0.0.1
"WinRAR archiver" = WinRAR 4.00 Beta 5 (32-Bit)
"You Don't Know Jack 4" = You Don't Know Jack 4 1.00
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"TeXLive2010" = TeX Live 2010
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 28.06.2011 09:04:22 | Computer Name = Ritchie | Source = Application Hang | ID = 1002
Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows 
ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: a34    Startzeit: 
01cc358981c36cf6    Endzeit: 63    Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe    Berichts-ID:
   
 
Error - 29.06.2011 18:50:06 | Computer Name = Ritchie | Source = Application Hang | ID = 1002
Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows 
ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: 7c8    Startzeit: 
01cc36778e99e1cf    Endzeit: 73    Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe    Berichts-ID:
   
 
Error - 02.07.2011 11:24:18 | Computer Name = Ritchie | Source = Application Hang | ID = 1002
Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows 
ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: 974    Startzeit: 
01cc38c37480ab9b    Endzeit: 339    Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe    Berichts-ID:
   
 
Error - 02.07.2011 12:18:45 | Computer Name = Ritchie | Source = Application Hang | ID = 1002
Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows 
ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: a90    Startzeit: 
01cc38cc7128c4bc    Endzeit: 80    Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe    Berichts-ID:
   
 
Error - 02.07.2011 15:37:45 | Computer Name = Ritchie | Source = Application Hang | ID = 1002
Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows 
ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: 394    Startzeit: 
01cc38d49d91ba31    Endzeit: 51    Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe    Berichts-ID:
   
 
Error - 03.07.2011 14:38:40 | Computer Name = Ritchie | Source = Application Hang | ID = 1002
Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows 
ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: 770    Startzeit: 
01cc39b047c93729    Endzeit: 9    Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe    Berichts-ID:
   
 
Error - 05.08.2011 09:10:25 | Computer Name = Ritchie | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: plugin-container.exe, Version: 1.9.2.4127,
 Zeitstempel: 0x4daf62c6  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x001864a8  ID des fehlerhaften
 Prozesses: 0xae4  Startzeit der fehlerhaften Anwendung: 0x01cc536e9a076df2  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
Pfad
 des fehlerhaften Moduls: unknown  Berichtskennung: 47a4346f-bf64-11e0-9823-0015f221ceaf
 
Error - 12.08.2011 20:41:47 | Computer Name = Ritchie | Source = Application Hang | ID = 1002
Description = Programm firefox.exe, Version 1.9.2.4127 kann nicht mehr unter Windows
 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: abc    Startzeit: 
01cc5950ef88b3f5    Endzeit: 12    Anwendungspfad: C:\Program Files (x86)\Mozilla Firefox\firefox.exe

Berichts-ID:
   
 
Error - 01.09.2011 09:19:15 | Computer Name = Ritchie | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: DivX Plus Player.exe, Version: 10.2.1.20,
 Zeitstempel: 0x4cdc8b7a  Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bdb3b  Ausnahmecode: 0xc0000374  Fehleroffset: 0x000cdcbb  ID des fehlerhaften
 Prozesses: 0x68c  Startzeit der fehlerhaften Anwendung: 0x01cc68a9b927db82  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\DivX\DivX Plus Player\DivX Plus 
Player.exe  Pfad des fehlerhaften Moduls: C:\Windows\SysWOW64\ntdll.dll  Berichtskennung:
 fd1c897d-d49c-11e0-946a-0015f221ceaf
 
Error - 01.09.2011 09:20:37 | Computer Name = Ritchie | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: DivX Plus Player.exe, Version: 10.2.1.20,
 Zeitstempel: 0x4cdc8b7a  Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bdb3b  Ausnahmecode: 0xc0000005  Fehleroffset: 0x00033913  ID des fehlerhaften
 Prozesses: 0xfac  Startzeit der fehlerhaften Anwendung: 0x01cc68a9ed3348a1  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\DivX\DivX Plus Player\DivX Plus 
Player.exe  Pfad des fehlerhaften Moduls: C:\Windows\SysWOW64\ntdll.dll  Berichtskennung:
 2dc27b06-d49d-11e0-946a-0015f221ceaf
 
[ System Events ]
Error - 27.08.2012 04:32:03 | Computer Name = Ritchie | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 27.08.2012 04:32:26 | Computer Name = Ritchie | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 27.08.2012 11:00:44 | Computer Name = Ritchie | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
 
Error - 27.08.2012 11:00:45 | Computer Name = Ritchie | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
 
Error - 28.08.2012 07:13:54 | Computer Name = Ritchie | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 28.08.2012 07:14:17 | Computer Name = Ritchie | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 28.08.2012 13:01:01 | Computer Name = Ritchie | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 28.08.2012 13:01:25 | Computer Name = Ritchie | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 28.08.2012 13:20:11 | Computer Name = Ritchie | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 28.08.2012 13:20:46 | Computer Name = Ritchie | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
 
< End of report >
         

Vielen Dank für deine Mühe und dir noch nen schönen Abend!
KunZ

Hi

wenn du keine 64bit-Browser verwendest (dein Firefox ist ein 32bit-Browser), ist das 64bit-Java unnötig und du kannst es deinstallieren.


Schritt 1

Ich sehe das Du sogenannte Registry Cleaner am System hast.
In deinem Fall TuneUp Utilities.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr bootet.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.


Schritt 2

Adobe-Reader-Update

• Deinstalliere bitte deine aktuelle Version von Adobe Reader
  Start--> Systemsteuerung--> Software--> Adobe Reader
  und lade dir die neue Version von Hier herunter-
  Entferne den Haken für den McAfee SecurityScan bzw. Google Chrome.

Schritt 3

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code: Alles auswählenAufklappen

ATTFilter

Combofix /Uninstall
         

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.


Schritt 4


OTL-CleanUp

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Schritt 5

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher, dass die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und dass diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool, welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich, bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart außerdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar (englische) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
• Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z. B. deinFoto.jpg. oder (aus aktuellem Anlass) angebliche Rechnungen im ZIP- oder Exe-Formatexe

Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, sodass ich diesen Thread aus meinen Abos löschen kann.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du dennoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Sorry, dass ich so lange gebraucht hab um wieder zu schreiben - ist grad malwieder Klausurenzeit....

Moin Christoph,
Schritt1: Ich hab noch nie Probleme mit tuneup utilities gehabt. Hab es vor allem benutzt um tote verknüpfungen zu finden - hat allerdings nicht alle gefunden und an die system-beschleunigung muss man auch fest glauben um sie zu bemerken....

Schritt2: Ausgeführt!

Schritt3: Ausgeführt!

Schritt4: Ausgeführt!

Schritt5: Secunia Online Software hab ich mir besorgt. Allerdings hab ich immer so meine Bedenken was das windows-update angeht....ich hab mir mit den automatischen updates mal mein System un-bootbar zerschossen und seit dem mach ich das doch sehr ungern... Frage: Wie kann ich mich dagegen schützen? Komm ich an einen Systemwiederherstellungspunkt dann noch irgendwie ran? Sprich - Syst.Wiederherst.punkt erstellen und im Fall der Fälle mit cd booten?

Der Rest: Soweit klar - auch wenn ich nicht alles gemacht hab. werd aber auf jeden Fall auf deine Tips zurückgreifen wenn ich mein System (eines fernen Tages) neu aufsetze.

Alternative Browser: check
Dont´s: ich klicke schon aus Prinzip auf nix was bunt ist

Vielen vielen Dank für alles! Du hast mir wirklich sehr geholfen.... Spenden fällt bei mir leider flach weil ich finanziell ziemlich auf dem Zahnfleisch gehe und eigentlich selbst bedürftig bin
Aber vielleicht kann euer Team noch Verstärkung....die eine oder andere Stunde könnte ich (wenn grad keine Klausuren sind) durchaus investieren....gebrauchen

Soweit erstmal und nochmal herzlichsten Dank!
KunZ