Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU-/BSI-Trojaner eingefangen inkl. Webcambild

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.08.2012, 03:08   #1
Sliders
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Hallo, leider gehöre auch zu denen die sich den GVU-/BSI-Tronjaner eingefangen haben.
Zum Glück konnte beim Neustart + F8 den Laptop wieder zum Laufen bringen.
Auf einem anderen PC konnte ins Netz und bin bei Euch gelandet.

Mit ein bisschen einlesen musste ich feststellen, dass es eine Menge Scanner usw. gibt.
Daher schreibe ich hier, weil ich nicht wahllos irgendwelche Programme runterladen wollte, sondern das Problem ganz gezielt bekämpfen möchte.

Der erste Schritt war, dass ich einen Scan mit Malewarebytes gemacht habe.
Zitat:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.28.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Frederik :: BRONSON [Administrator]

Schutz: Aktiviert

28.08.2012 15:23:22
mbam-log-2012-08-28 (15-23-22).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 190198
Laufzeit: 11 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Frederik\AppData\Roaming\msconfig.dat (Trojan.Agent.VGENX1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Frederik\Downloads\video_downloader.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Der zweite Schritt war, dass ich mit PluginCheck meine Daten aufgefrischt habe.

Da ich gelesen habe, dass es damit nicht getan ist, bräuchte ich proffessionelle Hilfe.

Alt 29.08.2012, 03:34   #2
t'john
/// Helfer-Team
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.


Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt
Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 30.08.2012, 02:07   #3
Sliders
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Hier die ersten Aufgaben, die zuerledigen waren. Ich hoffe, dass ich alles richtig gemacht habe.


Scan mit Malwarebytes:
Zitat:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.29.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Frederik :: BRONSON [Administrator]

Schutz: Aktiviert

29.08.2012 13:44:54
mbam-log-2012-08-29 (13-44-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 367421
Laufzeit: 2 Stunde(n), 16 Minute(n),

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video Downloader (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files\vGrabber-software\Uninstall.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Scan mit OTL:

OTL EXTRAS Logfile:
Code:
ATTFilter
OTL logfile created on: 30.08.2012 02:49:49 - Run 1
OTL by OldTimer - Version 3.2.59.1     Folder = C:\Users\Frederik\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,22 Gb Total Physical Memory | 1,99 Gb Available Physical Memory | 61,89% Memory free
6,43 Gb Paging File | 5,20 Gb Available in Paging File | 80,87% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 150,66 Gb Total Space | 63,98 Gb Free Space | 42,46% Space Free | Partition Type: NTFS
Drive E: | 145,97 Gb Total Space | 141,78 Gb Free Space | 97,13% Space Free | Partition Type: NTFS
 
Computer Name: BRONSON | User Name: Frederik | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Frederik\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_11_4_402_265.exe (Adobe Systems, Inc.)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
PRC - E:\iTunesHelper.exe (Apple Inc.)
PRC - C:\Programme\McAfee Security Scan\3.0.207\SSScheduler.exe (McAfee, Inc.)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe (BillP Studios)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE (Microsoft Corporation)
PRC - C:\Windows\System32\atieclxx.exe (AMD)
PRC - C:\Windows\System32\atiesrxx.exe (AMD)
PRC - C:\Programme\Common Files\microsoft shared\ink\InputPersonalization.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\System32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll ()
MOD - C:\Programme\Common Files\Apple\Apple Application Support\libxml2.dll ()
MOD - C:\Programme\BillP Studios\WinPatrol\sqlite3.dll ()
MOD - C:\Programme\FileZilla FTP Client\fzshellext.dll ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (NisSrv) -- C:\Programme\Microsoft Security Client\NisSrv.exe (Microsoft Corporation)
SRV - (MsMpSvc) -- C:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\3.0.207\McCHSvc.exe (McAfee, Inc.)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (VMCService) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
SRV - (wlidsvc) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
SRV - (AMD External Events Utility) -- C:\Windows\System32\atiesrxx.exe (AMD)
SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (upperdev) -- system32\DRIVERS\usbser_lowerflt.sys File not found
DRV - (StarOpen) --  File not found
DRV - (pccsmcfd) -- system32\DRIVERS\pccsmcfd.sys File not found
DRV - (adfs) --  File not found
DRV - (abnwuirx) --  File not found
DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (NisDrv) -- C:\Windows\System32\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV - (vmbus) -- C:\Windows\System32\drivers\vmbus.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\System32\drivers\vmstorfl.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\System32\drivers\storvsc.sys (Microsoft Corporation)
DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\System32\drivers\VMBusHID.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\System32\drivers\vms3cap.sys (Microsoft Corporation)
DRV - (Netaapl) -- C:\Windows\System32\drivers\netaapl.sys (Apple Inc.)
DRV - (sptd) -- C:\Windows\System32\drivers\sptd.sys ()
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (WSDPrintDevice) -- C:\Windows\System32\drivers\WSDPrint.sys (Microsoft Corporation)
DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation)
DRV - (Serial) -- C:\Windows\System32\drivers\serial.sys (Brother Industries Ltd.)
DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys (Marvell)
DRV - (ewusbnet) -- C:\Windows\System32\drivers\ewusbnet.sys (Huawei Technologies Co., Ltd.)
DRV - (hwusbfake) -- C:\Windows\System32\drivers\ewusbfake.sys (Huawei Technologies Co., Ltd.)
DRV - (hwdatacard) -- C:\Windows\System32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.)
DRV - (BMLoad) -- C:\Windows\System32\drivers\BMLoad.sys (Bytemobile, Inc.)
DRV - (tcpipBM) -- C:\Windows\System32\drivers\tcpipBM.sys (Bytemobile, Inc.)
DRV - (TVALZ) -- C:\Windows\System32\drivers\TVALZ_O.SYS (TOSHIBA Corporation)
DRV - (sfvfs02) -- C:\Windows\System32\drivers\sfvfs02.sys (Protection Technology (StarForce))
DRV - (sfsync02) -- C:\Windows\System32\drivers\sfsync02.sys (Protection Technology)
DRV - (sfdrv01a) -- C:\Windows\System32\drivers\sfdrv01a.sys (Protection Technology (StarForce))
DRV - (sfhlp02) -- C:\Windows\System32\drivers\sfhlp02.sys (Protection Technology (StarForce))
DRV - (O2MDRDR) -- C:\Windows\System32\drivers\o2media.sys (O2Micro )
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B5 81 2A 9A E8 AE CA 01  [binary data]
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q="
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: E:\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.6.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.6.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ff-bmboc@bytemobile.com: C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\addon\ [2010.09.27 00:02:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.08.09 01:59:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.08.15 17:07:23 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.08.09 01:59:19 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.08.15 17:07:23 | 000,000,000 | ---D | M]
 
[2010.09.06 18:30:04 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Frederik\AppData\Roaming\mozilla\Extensions
[2009.12.08 22:53:27 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Frederik\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.05.02 15:45:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Frederik\AppData\Roaming\mozilla\Firefox\Profiles\9iwyy5rz.default\extensions
[2012.08.27 16:14:13 | 000,001,056 | ---- | M] () -- C:\Users\Frederik\AppData\Roaming\Mozilla\Firefox\Profiles\9iwyy5rz.default\searchplugins\icqplugin.xml
[2012.01.27 19:12:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.08.09 01:59:19 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.06.13 23:56:07 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.06.13 23:56:07 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.06.13 23:56:07 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.13 23:56:07 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.13 23:56:07 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.13 23:56:07 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.03.13 15:01:13 | 000,001,278 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1  activate.adobe.com
O1 - Hosts: 127.0.0.1  practivate.adobe.com
O1 - Hosts: 127.0.0.1  ereg.adobe.com
O1 - Hosts: 127.0.0.1  activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1  wip3.adobe.com
O1 - Hosts: 127.0.0.1  3dns-3.adobe.com
O1 - Hosts: 127.0.0.1  3dns-2.adobe.com
O1 - Hosts: 127.0.0.1  adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1  adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1  adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1  ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1  activate-sea.adobe.com
O1 - Hosts: 127.0.0.1  wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1  activate-sjc0.adobe.com
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [iTunesHelper] E:\iTunesHelper.exe (Apple Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [MobileConnect] C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone)
O4 - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [QuickTime Plugin Install] C:\Programme\QuickTime\Plugins\DeleteMe1.exe ()
O4 - HKLM..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" File not found
O4 - HKLM..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe (BillP Studios)
O4 - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001..\Run: [ICQ] C:\Program Files\ICQ7.2\ICQ.exe (ICQ, LLC.)
O4 - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html File not found
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html File not found
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html File not found
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 10.6.2)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{706ECBB5-FBA7-42A2-890F-6F274AFBC279}: DhcpNameServer = 139.7.30.126 139.7.30.125
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{946FD78C-4947-4635-8EEC-3A3748A674B1}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C9466799-A787-47AC-894C-296DB0B21D01}: DhcpNameServer = 139.7.30.126 139.7.30.125
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{3285c3c2-c9b9-11df-b2bc-00238b61c689}\Shell - "" = AutoRun
O33 - MountPoints2\{3285c3c2-c9b9-11df-b2bc-00238b61c689}\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{3285c43d-c9b9-11df-b2bc-00238b61c689}\Shell - "" = AutoRun
O33 - MountPoints2\{3285c43d-c9b9-11df-b2bc-00238b61c689}\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{3285c4de-c9b9-11df-b2bc-001e101f4e71}\Shell - "" = AutoRun
O33 - MountPoints2\{3285c4de-c9b9-11df-b2bc-001e101f4e71}\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{d0cc1a8d-e3dd-11de-bf08-00238b61c689}\Shell - "" = AutoRun
O33 - MountPoints2\{d0cc1a8d-e3dd-11de-bf08-00238b61c689}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.30 02:47:07 | 000,598,528 | ---- | C] (OldTimer Tools) -- C:\Users\Frederik\Desktop\OTL.exe
[2012.08.29 03:18:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
[2012.08.29 02:59:44 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
[2012.08.29 02:59:21 | 000,246,760 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\javaws.exe
[2012.08.29 02:59:08 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\javaw.exe
[2012.08.29 02:59:08 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\java.exe
[2012.08.29 02:59:08 | 000,093,672 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\WindowsAccessBridge.dll
[2012.08.29 02:47:44 | 000,000,000 | ---D | C] -- C:\Users\Frederik\AppData\Local\Macromedia
[2012.08.29 02:47:24 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee Security Scan
[2012.08.29 02:47:18 | 000,000,000 | ---D | C] -- C:\Program Files\McAfee Security Scan
[2012.08.29 02:47:15 | 000,696,520 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.08.28 15:21:38 | 000,000,000 | ---D | C] -- C:\Users\Frederik\AppData\Roaming\Malwarebytes
[2012.08.28 15:21:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.08.28 15:21:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.08.28 15:21:11 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.08.28 15:21:10 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.08.15 14:30:06 | 000,627,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2012.08.15 14:30:03 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012.08.15 14:30:02 | 001,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012.08.15 14:30:02 | 000,132,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012.08.15 14:30:02 | 000,048,128 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012.08.15 14:29:59 | 000,400,896 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\srcore.dll
[2012.08.15 14:29:57 | 002,345,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012.08.15 14:29:53 | 000,041,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\browcli.dll
[2012.08.13 02:17:40 | 000,000,000 | ---D | C] -- C:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Video Downloader
[2012.08.13 02:17:14 | 000,000,000 | ---D | C] -- C:\Program Files\vGrabber-software
[6 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.30 02:47:17 | 000,598,528 | ---- | M] (OldTimer Tools) -- C:\Users\Frederik\Desktop\OTL.exe
[2012.08.30 02:39:16 | 000,013,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.30 02:39:16 | 000,013,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.30 02:31:22 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.08.30 02:31:14 | 2590,789,632 | -HS- | M] () -- C:\hiberfil.sys
[2012.08.29 03:18:03 | 000,002,049 | ---- | M] () -- C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
[2012.08.29 03:18:03 | 000,002,049 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
[2012.08.29 02:58:57 | 000,093,672 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\WindowsAccessBridge.dll
[2012.08.29 02:58:53 | 000,246,760 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\javaws.exe
[2012.08.29 02:58:53 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\javaw.exe
[2012.08.29 02:58:53 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\java.exe
[2012.08.29 02:58:52 | 000,821,736 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\npDeployJava1.dll
[2012.08.29 02:58:52 | 000,746,984 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\deployJava1.dll
[2012.08.29 02:47:15 | 000,696,520 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.08.29 02:47:15 | 000,073,416 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012.08.28 15:23:26 | 000,656,266 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.08.28 15:23:26 | 000,618,108 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.08.28 15:23:26 | 000,131,006 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.08.28 15:23:26 | 000,107,388 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.08.28 15:21:23 | 000,001,080 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.08.15 17:57:40 | 002,341,720 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.08.13 02:17:40 | 000,001,958 | ---- | M] () -- C:\Users\Frederik\Desktop\Video Downloader.lnk
[6 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.08.29 02:47:21 | 000,002,049 | ---- | C] () -- C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
[2012.08.29 02:47:21 | 000,002,049 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
[2012.08.28 15:21:23 | 000,001,080 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.08.13 02:17:40 | 000,001,958 | ---- | C] () -- C:\Users\Frederik\Desktop\Video Downloader.lnk
[2011.09.28 18:44:14 | 000,179,271 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat
[2011.04.09 03:19:25 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2011.01.19 23:04:16 | 000,335,872 | ---- | C] () -- C:\Windows\Property.exe
[2011.01.19 23:04:16 | 000,291,840 | ---- | C] () -- C:\Windows\FCVAP64.dll
[2011.01.19 23:04:16 | 000,155,712 | ---- | C] () -- C:\Windows\GetWinVer.exe
[2011.01.19 23:04:16 | 000,145,408 | ---- | C] () -- C:\Windows\setreg.exe
[2011.01.19 23:04:16 | 000,086,016 | ---- | C] () -- C:\Windows\EZFRD64.dll
[2010.12.06 04:32:32 | 000,007,602 | ---- | C] () -- C:\Users\Frederik\AppData\Local\Resmon.ResmonCfg
[2009.06.16 13:25:02 | 000,121,512 | R--- | C] () -- C:\ProgramData\DeviceManager.xml.rc4

< End of report >
         
--- --- ---

--- --- ---


OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 30.08.2012 02:49:49 - Run 1
OTL by OldTimer - Version 3.2.59.1     Folder = C:\Users\Frederik\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,22 Gb Total Physical Memory | 1,99 Gb Available Physical Memory | 61,89% Memory free
6,43 Gb Paging File | 5,20 Gb Available in Paging File | 80,87% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 150,66 Gb Total Space | 63,98 Gb Free Space | 42,46% Space Free | Partition Type: NTFS
Drive E: | 145,97 Gb Total Space | 141,78 Gb Free Space | 97,13% Space Free | Partition Type: NTFS
 
Computer Name: BRONSON | User Name: Frederik | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.js [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
.txt [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
 
[HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{009D524C-4EF4-4D68-B8A4-00E2E5F22121}" = lport=138 | protocol=17 | dir=in | app=system | 
"{06884E38-56D2-411C-B32D-1A1FE0BC0726}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{0D71BDFD-7CD7-4C0B-A48C-B2B6770C5C3D}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{10F0CDF8-FC79-434B-A897-523DD35CC8FB}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{190F84A7-9B2C-4052-97EA-DBE3E209ED24}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{1F8A366D-0AFC-464D-83C3-CF14893791A2}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{20B421AD-5135-431E-B1E8-F42944B34C63}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{262699D4-262D-497B-9507-A8CDCEA3FB80}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{2FD00AB8-5CF2-4C8B-BCCF-A03C46862424}" = lport=445 | protocol=6 | dir=in | app=system | 
"{36BC30F8-06A0-4165-A62C-052FE0F3F7A5}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{3D258924-75FC-4702-98D5-4FFA6893355E}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{3D3FA0DC-4AB1-4025-8365-8AE6F044162E}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{3E823D7B-75ED-4A48-B6C9-C7BC3FEFD689}" = rport=137 | protocol=17 | dir=out | app=system | 
"{4E78329C-D559-453F-85C9-129EAE709957}" = lport=137 | protocol=17 | dir=in | app=system | 
"{52635CB3-7013-4E0A-BD59-6213C3C34C12}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{5D1B70C0-6F45-49F8-B95A-09E161A2C0DF}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{64016F5B-13F8-45B0-B83D-35ADB787A199}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{65D93855-07D1-4055-B57F-00CEAC7B69C3}" = rport=138 | protocol=17 | dir=out | app=system | 
"{6CECE031-9462-49C4-939B-A8C4E915538A}" = lport=139 | protocol=6 | dir=in | app=system | 
"{6D98C955-DC5E-4B34-9501-B4F5790BEDB6}" = rport=445 | protocol=6 | dir=out | app=system | 
"{877B4D1D-D97C-4112-A46D-76C119F102DF}" = lport=5353 | protocol=6 | dir=in | name=adobe csi cs4 | 
"{8E79DD1E-ADCD-4DEF-A7A8-BBD3FE54E4C2}" = rport=427 | protocol=17 | dir=in | svc=hpslpsvc | app=c:\windows\system32\svchost.exe | 
"{90F9D797-C922-41B7-A653-6B4037C9C716}" = lport=3704 | protocol=6 | dir=in | name=adobe version cue cs4 server | 
"{9A6C122C-152B-4207-B731-5281AE4EA0F7}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{B3470448-A864-403E-ABE6-2B13E6A0D357}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{C1C52131-9940-47FC-8A38-F1995DF1E89A}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{C2203DF6-6E6D-45E4-B640-2C3494707CA2}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{C5DA43F0-4704-4572-892D-C880AE234AB9}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{D6A97829-D51C-408F-983E-BBDB921703FB}" = rport=139 | protocol=6 | dir=out | app=system | 
"{D6C607BE-2D68-483D-9511-314E61EA36BC}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{DDBF5B71-8033-4709-B2A4-6AB64770F897}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{DF7F2389-C578-46C3-BBD5-910CF155737C}" = lport=3703 | protocol=6 | dir=in | name=adobe version cue cs4 server | 
"{E5241D1E-6756-4313-BB00-8D4F970E978E}" = lport=51000 | protocol=6 | dir=in | name=adobe version cue cs4 server | 
"{EA496C09-E18C-47BD-8CEA-E345A559800E}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{F42F542E-71DE-4321-9577-17C0B5A58F91}" = lport=51001 | protocol=6 | dir=in | name=adobe version cue cs4 server | 
"{FBE3FFA7-BC62-4DDF-835C-3888C1B4C3BC}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{FDB6C60B-EA3D-47CF-B976-97D8612E1B4D}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0136F7C6-4145-4197-8FE4-BD2638EF293B}" = protocol=6 | dir=in | app=c:\program files\icq7.2\aolload.exe | 
"{0369F322-F5C4-45B1-B9A6-6F8B14571FB9}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpfccopy.exe | 
"{047C871A-5E8F-4B41-95FF-9BBDB89AF0B5}" = protocol=6 | dir=in | app=c:\program files\common files\adobe\adobe version cue cs4\server\bin\versioncuecs4.exe | 
"{06FB47F8-D0BC-463C-BCCC-90E87620D5AE}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{090DE4CE-823B-41C8-9D39-76F463555AA4}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{0A385761-5071-43D2-8B5F-70ED28A196E4}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{0B5A931C-F48E-4214-BC5F-60C467B4E51C}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpoews01.exe | 
"{0E33373F-6C03-4988-A0F9-7931146D83B2}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{0FB1BFFF-E14D-425F-B15F-AF8A3D9661A9}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{1701CD4F-E431-4447-98DB-2C9ECD87483A}" = dir=out | app=%programfiles%\adobe\adobe photoshop cs4\photoshop.exe | 
"{19F5B706-A095-4BF6-B073-1A0A7EB83092}" = dir=in | app=c:\program files\hp\digital imaging\bin\hposid01.exe | 
"{1C2DDB07-04F2-4AF3-B547-21C8641CAF7E}" = dir=out | app=%programfiles%\adobe\adobe flash cs4\flash.exe | 
"{203A659F-0398-4A0C-BE88-CA127465EFD9}" = protocol=17 | dir=in | app=c:\program files\common files\adobe\cs4servicemanager\cs4servicemanager.exe | 
"{249688DB-469D-482D-B6B8-8AF88AC7F6FE}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{25A47AB0-2C22-48A2-B4EC-ED5027CF782E}" = dir=in | app=c:\program files\hp\hp software update\hpwucli.exe | 
"{277A46C1-C8A1-4402-B83A-BCEDDE351581}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{28B0370A-5D4E-4172-9D98-E36820548D48}" = dir=out | app=%programfiles%\adobe\adobe fireworks cs4\fireworks.exe | 
"{2A488DEE-AB83-4A11-BB82-D32099AE4004}" = protocol=6 | dir=in | app=c:\program files\icq7.2\aolload.exe | 
"{3388D183-8A65-4E73-A6C8-5303F765C55C}" = protocol=6 | dir=in | app=c:\program files\common files\adobe\cs4servicemanager\cs4servicemanager.exe | 
"{37AC9E64-9D8A-43BA-830D-48A20A934CD6}" = dir=out | app=%programfiles%\adobe\adobe onlocation cs4\adobe onlocation.exe | 
"{395C94D5-A6AE-4755-8C7B-043F52023B0D}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqusgh.exe | 
"{39CD06B9-5643-4433-9EE1-DE2E0D08F814}" = protocol=17 | dir=in | app=c:\program files\ubisoft\die siedler - aufstieg eines königreichs\base\bin\settlers6.exe | 
"{3D3BC422-C9EB-4A02-9621-8F0C63F1F910}" = protocol=17 | dir=in | app=c:\program files\common files\adobe\adobe version cue cs4\server\bin\versioncuecs4.exe | 
"{3F621DA9-4EDA-4208-9EFD-938876365939}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqgplgtupl.exe | 
"{4115D646-2015-4B30-BF18-70C19F718302}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{47DDC931-0210-4C42-8370-A2D47D6BAEE2}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{4948E005-6D65-46D0-9056-D8F9CEF1F06F}" = dir=out | app=%programfiles%\adobe\adobe premiere pro cs4\adobe premiere pro.exe | 
"{5200DA18-2F06-4B75-B8EC-7C9160853D04}" = dir=out | app=%programfiles%\adobe\adobe device central cs4\devicecentral.exe | 
"{54DA7812-8ACB-481E-B621-2AC9C69BC323}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqkygrp.exe | 
"{59BD4C92-C317-4FC5-AEE1-335E7BC52BA2}" = protocol=6 | dir=in | app=c:\program files\ubisoft\die siedler - aufstieg eines königreichs\base\bin\settlers6.exe | 
"{5A3B1598-BA53-4629-9958-663B0E816B2B}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{606220D9-A6E2-473B-8F7D-1C021C50DFBE}" = dir=in | app=c:\program files\common files\apple\apple application support\webkit2webprocess.exe | 
"{60669DA0-A3E0-4BDD-B234-B588CCC19811}" = dir=out | app=%programfiles%\adobe\adobe contribute cs4\contributeibe.exe | 
"{64134EAA-D916-4805-9CB7-39A974652727}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{657EE9B9-4FC4-4D53-8905-DE078AD636DA}" = dir=out | app=%programfiles%\adobe\adobe encore cs4\adobe encore.exe | 
"{69AD9B6B-905A-4D5C-B81E-74C91FEF5568}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{70631448-3162-4120-97C9-2AE6F087790D}" = dir=out | app=%programfiles%\adobe\adobe media encoder cs4\adobe media encoder.exe | 
"{7103E41B-98C9-404C-A3F1-598EC02A8910}" = protocol=6 | dir=in | app=c:\program files\icq7.2\icq.exe | 
"{71A5319C-3302-4AD1-B2B9-233380D96464}" = dir=in | app=c:\program files\common files\hp\digital imaging\bin\hpqphotocrm.exe | 
"{7293A286-4195-4F16-878F-4BAA1941B25A}" = dir=out | app=%programfiles%\adobe\adobe contribute cs4\contribute.exe | 
"{749F4F10-3F8F-447F-B882-CD104EF378BE}" = dir=out | app=%programfiles%\adobe\adobe dreamweaver cs4\dreamweaver.exe | 
"{7548C9AF-42C1-4D37-9DC3-3748176BFE88}" = dir=out | app=%programfiles%\adobe\adobe photoshop cs4\photoshop.exe | 
"{764579B1-1EEF-45C1-8169-24AD8BE1CBDF}" = dir=out | app=%programfiles%\adobe\adobe extension manager cs4\adobe extension manager cs4.exe | 
"{781ECAF7-A458-42F5-8385-8B0E4E454D9A}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{7C23887B-9701-4086-B544-4F5A287A719E}" = protocol=17 | dir=in | app=c:\program files\icq7.2\aolload.exe | 
"{858C5A0A-0BA0-4AF9-8A7F-84B4C672C5AE}" = protocol=6 | dir=out | app=system | 
"{875620EE-744A-4512-A9A6-C3F45944B5FC}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqusgm.exe | 
"{896428C7-85C0-43DD-B4B9-2B77EE6F841C}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqtra08.exe | 
"{8A24EF90-53C9-4F44-97AA-6ACD43A92218}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{8E296B07-78E5-41E8-A5EB-13932015ACA6}" = dir=out | app=%programfiles%\adobe\acrobat 9.0\acrobat\acrobat.exe | 
"{920060B4-4C2D-4847-B703-14B0E935A1E0}" = dir=out | app=%programfiles%\adobe\adobe soundbooth cs4\adobe soundbooth cs4.exe | 
"{92656E3A-0873-4BD0-A314-D8A588828BB1}" = dir=out | app=%programfiles%\adobe\adobe illustrator cs4\support files\contents\windows\illustrator.exe | 
"{A4DF868B-BEED-49DE-A861-45377BC096C2}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{A5C8F1E3-824A-4E1A-AACA-E9A09FA2BA09}" = protocol=17 | dir=in | app=c:\program files\icq7.2\icq.exe | 
"{AB750230-2FDD-4721-B8B6-35563F70BD41}" = dir=out | app=%programfiles%\adobe\adobe bridge cs4\bridge.exe | 
"{AC0B0986-4DF8-4AC7-97BD-D6D7C5BC8710}" = dir=in | app=e:\itunes.exe | 
"{B228BF00-EC71-436E-BC8D-ABBF3F556B2E}" = dir=out | app=%programfiles%\adobe\adobe indesign cs4\indesign.exe | 
"{B34AA44C-083F-4357-A114-DF02CC329D16}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqgpc01.exe | 
"{B91048DA-AE34-4F1C-BD25-FF8C97314A50}" = protocol=6 | dir=in | app=c:\program files\icq7.2\icq.exe | 
"{BA004910-4248-4AEB-B9BE-C6DB2256FBE5}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpqste08.exe | 
"{BCACAC7E-8953-473E-B9B0-415B75B8AC44}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{D989B50E-8405-49BE-A0E6-B3F6B9F1DB13}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{E161660D-E441-47F8-B28A-ED157525E827}" = protocol=17 | dir=in | app=c:\program files\icq7.2\aolload.exe | 
"{EBBBEF3F-898A-47FA-9A25-DB341E1A41E4}" = dir=in | app=c:\program files\hp\digital imaging\bin\hpiscnapp.exe | 
"{EC706D42-E6B5-4907-A2D8-9F55254BA91A}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{EDA0FFC1-9436-4DCB-8175-E13FA886129B}" = dir=in | app=c:\program files\hp\digital imaging\smart web printing\smartwebprintexe.exe | 
"{F5345BF6-A35F-4D3A-A46E-E19568030293}" = protocol=17 | dir=in | app=c:\program files\icq7.2\icq.exe | 
"{F93F0406-408D-47BB-A3C7-0A04D8E2B4CE}" = dir=out | app=%programfiles%\adobe\adobe after effects cs4\support files\afterfx.exe | 
"{FC618450-ACC7-4B32-A3EF-41EE6B330345}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{FF0E8587-4E83-4E09-A6B7-93DE81A88B03}" = dir=in | app=d:\setup\hpznui01.exe | 
"{FF8593B7-0C66-4F24-88EB-6772B777668D}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"TCP Query User{0FC7DC03-8B7D-4B42-A934-176E8279AC0F}C:\program files\icq6.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6.5\icq.exe | 
"TCP Query User{389CECD0-8710-4446-8793-051D03C1B032}C:\program files\opera\opera.exe" = protocol=6 | dir=in | app=c:\program files\opera\opera.exe | 
"TCP Query User{75E6EA42-1FFF-403F-92B9-9981AF374135}C:\program files\electronic arts\eadm\core.exe" = protocol=6 | dir=in | app=c:\program files\electronic arts\eadm\core.exe | 
"TCP Query User{C65052D4-327E-4782-A12C-776C2A96EB9F}C:\program files\electronic arts\eadm\core.exe" = protocol=6 | dir=in | app=c:\program files\electronic arts\eadm\core.exe | 
"TCP Query User{D4AC6857-E8C0-4312-AFCD-3103F130CC75}C:\program files\opera\opera.exe" = protocol=6 | dir=in | app=c:\program files\opera\opera.exe | 
"TCP Query User{EDA32B28-4087-45B6-8BCD-64AB375AFADC}C:\program files\videolan\vlc\vlc.exe" = protocol=6 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"TCP Query User{F6AAEFC3-6C2B-49E2-8057-BB87DD2F794A}C:\program files\free music zilla\fmzilla.exe" = protocol=6 | dir=in | app=c:\program files\free music zilla\fmzilla.exe | 
"UDP Query User{0F9C9B4C-9EE6-4624-87E0-31FF7CF0A4A5}C:\program files\opera\opera.exe" = protocol=17 | dir=in | app=c:\program files\opera\opera.exe | 
"UDP Query User{5C22BE42-ED3D-489D-A95D-21F08653B9FB}C:\program files\free music zilla\fmzilla.exe" = protocol=17 | dir=in | app=c:\program files\free music zilla\fmzilla.exe | 
"UDP Query User{9A044C72-E8E9-48A1-B3C7-9F0D352C74C5}C:\program files\icq6.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6.5\icq.exe | 
"UDP Query User{9B6B4805-C21F-4303-939C-A0991E42B474}C:\program files\videolan\vlc\vlc.exe" = protocol=17 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"UDP Query User{A3A6BE8A-5552-4E16-B8C2-1D0D6B4B83E7}C:\program files\opera\opera.exe" = protocol=17 | dir=in | app=c:\program files\opera\opera.exe | 
"UDP Query User{F0EBE399-2AAD-4FC8-A2E7-352113A0C307}C:\program files\electronic arts\eadm\core.exe" = protocol=17 | dir=in | app=c:\program files\electronic arts\eadm\core.exe | 
"UDP Query User{F1D67D85-470E-4758-96FF-FD1F3E7B1672}C:\program files\electronic arts\eadm\core.exe" = protocol=17 | dir=in | app=c:\program files\electronic arts\eadm\core.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0840B4D6-7DD1-4187-8523-E6FC0007EFB7}" = Windows Live ID Sign-in Assistant
"{0F842B77-56EA-4AAF-8295-81A022350B5E}" = Microsoft Security Client
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 23
"{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java(TM) 6 Update 20
"{26A24AE4-039D-4CA4-87B4-2F83217006FF}" = Java 7 Update 6
"{343666E2-A059-48AC-AD67-230BF74E2DB2}" = Apple Application Support
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{434D0831-A4CC-401A-9E74-621000018401}" = F1 2010
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4CB0307C-565E-4441-86BE-0DF2E4FB828C}" = Microsoft Games for Windows Marketplace
"{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client DE-DE Language Pack
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{710BF966-43C8-4216-A8EC-BC4E169FF7C1}" = MobileMe Control Panel
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{79A64F98-1796-4FA2-B5FF-C90F83D8BACD}" = Vodafone Mobile Connect Lite
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{832D9DE0-8AFC-4689-9819-4DBBDEBD3E4F}" = Microsoft Games for Windows - LIVE Redistributable
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{92127AF5-FDD8-4ADF-BC40-C356C9EE0B7D}" = 32 Bit HP CIO Components Installer
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{AC4C38FD-A54C-4CA5-92EE-D983CD81293E}" = Microsoft Xbox 360 Accessories 1.2
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Deutsch
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{B194272D-1F92-46DF-99EB-8D5CE91CB4EC}" = Adobe AIR
"{BA12FD6C-169A-11D7-A6A9-00C026281E5A}" = USB STORM TROOPER GAME PAD
"{BA12FD6C-169A-11D7-A6A9-00C026281E5B}" = USB STORM TROOPER GAME PAD
"{C6579A65-9CAE-4B31-8B6B-3306E0630A66}" = Apple Software Update
"{C86E7C99-E4AD-79C7-375B-1AEF9A91EC2B}" = Acrobat.com
"{D2FCA41E-AC01-4DCD-B3A7-DC9E32363065}}_is1" = Rapture3D 2.4.4 Game
"{D3F80A98-05AB-4D8C-9272-766CCFA6A48D}" = DIE SIEDLER - Aufstieg eines Königreichs
"{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2
"{E503B4BF-F7BB-3D5F-8BC8-F694B1CFF942}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218
"{F6D6B258-E3CA-4AAC-965A-68D3E3140A8C}" = iTunes
"{FDB5E0F3-86EA-4379-8A2F-1BC2436543E9}" = iCloud
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Acrobat.com
"EA Installer.1475696318" = EA Installer
"EADM" = EA Download Manager
"FUSSBALL MANAGER 11" = FUSSBALL MANAGER 11
"FUSSBALL MANAGER 12" = FUSSBALL MANAGER 12
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft Security Client" = Microsoft Security Essentials
"Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"OpenAL" = OpenAL
"VLC media player" = VLC media player 1.0.2
"WinPatrol" = WinPatrol
"WinRAR archiver" = WinRAR
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"3D-Gameplaypatch" = 3D-Gameplaypatch
"3D-Kitpatch" = 3D-Kitpatch
"Logos der kontinentalen Wettbewerbe" = Logos der kontinentalen Wettbewerbe
"Reale EM-Quali" = Reale EM-Quali
"Spielerbilder 3. Liga" = Spielerbilder 3. Liga
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 15.05.2012 15:27:56 | Computer Name = Bronson | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 15.05.2012 16:09:10 | Computer Name = Bronson | Source = VMCService | ID = 0
Description = GetProcessOwner
 
Error - 16.05.2012 07:42:02 | Computer Name = Bronson | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 16.05.2012 12:13:22 | Computer Name = Bronson | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 16.05.2012 12:13:22 | Computer Name = Bronson | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 1186
 
Error - 16.05.2012 12:13:22 | Computer Name = Bronson | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 1186
 
Error - 16.05.2012 12:13:23 | Computer Name = Bronson | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 16.05.2012 12:13:23 | Computer Name = Bronson | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 2980
 
Error - 16.05.2012 12:13:23 | Computer Name = Bronson | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 2980
 
Error - 17.05.2012 09:19:50 | Computer Name = Bronson | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
[ System Events ]
Error - 29.08.2012 10:07:27 | Computer Name = Bronson | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter
 
Error - 29.08.2012 10:07:27 | Computer Name = Bronson | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 29.08.2012 10:07:40 | Computer Name = Bronson | Source = Service Control Manager | ID = 7000
Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 29.08.2012 10:07:51 | Computer Name = Bronson | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   sfdrv01a  sfsync02  tcpipBM
 
Error - 29.08.2012 20:31:03 | Computer Name = Bronson | Source = Application Popup | ID = 875
Description = Treiber sfsync02.sys konnte nicht geladen werden.
 
Error - 29.08.2012 20:31:07 | Computer Name = Bronson | Source = Application Popup | ID = 875
Description = Treiber sfdrv01a.sys konnte nicht geladen werden.
 
Error - 29.08.2012 20:31:21 | Computer Name = Bronson | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter
 
Error - 29.08.2012 20:31:21 | Computer Name = Bronson | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 29.08.2012 20:31:34 | Computer Name = Bronson | Source = Service Control Manager | ID = 7000
Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 29.08.2012 20:31:43 | Computer Name = Bronson | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   sfdrv01a  sfsync02  tcpipBM
 
 
< End of report >
         
--- --- ---
__________________

Alt 30.08.2012, 18:51   #4
t'john
/// Helfer-Team
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.


Code:
ATTFilter
:OTL
DRV - (upperdev) -- system32\DRIVERS\usbser_lowerflt.sys File not found 
DRV - (StarOpen) -- File not found 
DRV - (pccsmcfd) -- system32\DRIVERS\pccsmcfd.sys File not found 
DRV - (adfs) -- File not found 
DRV - (abnwuirx) -- File not found 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\URLSearchHook: - No CLSID value found 
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd 
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search" 
FF - prefs.js..browser.search.selectedEngine: "Google" 
FF - prefs.js..browser.startup.homepage: "www.google.de" 
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=" 
FF - user.js - File not found 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found 
O3 - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. 
O4 - HKLM..\Run: [QuickTime Plugin Install] C:\Programme\QuickTime\Plugins\DeleteMe1.exe () 
O4 - HKLM..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" File not found 
O4 - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001..\Run: [AdobeBridge] File not found 
O4 - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found 
O4 - HKU\S-1-5-21-3858707057-3470254538-1251288165-1001..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe File not found 
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) 
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html File not found 
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html File not found 
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html File not found 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Reg Error: Value error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 10.6.2) 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] 
O33 - MountPoints2\{3285c3c2-c9b9-11df-b2bc-00238b61c689}\Shell - "" = AutoRun 
O33 - MountPoints2\{3285c3c2-c9b9-11df-b2bc-00238b61c689}\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence 
O33 - MountPoints2\{3285c43d-c9b9-11df-b2bc-00238b61c689}\Shell - "" = AutoRun 
O33 - MountPoints2\{3285c43d-c9b9-11df-b2bc-00238b61c689}\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence 
O33 - MountPoints2\{3285c4de-c9b9-11df-b2bc-001e101f4e71}\Shell - "" = AutoRun 
O33 - MountPoints2\{3285c4de-c9b9-11df-b2bc-001e101f4e71}\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence 
O33 - MountPoints2\{d0cc1a8d-e3dd-11de-bf08-00238b61c689}\Shell - "" = AutoRun 
O33 - MountPoints2\{d0cc1a8d-e3dd-11de-bf08-00238b61c689}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a 
O33 - MountPoints2\G\Shell - "" = AutoRun 
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence 

[6 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] 

:Files

C:\Users\Frederik\AppData\Local\{*}
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Users\Frederik\AppData\Local\Temp\*.exe
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
%SystemRoot%\System32\*.tmp
%SystemRoot%\SysWOW64\*.tmp
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.



4. Schritt
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.
__________________
Mfg, t'john
Das TB unterstützen

Alt 01.09.2012, 13:07   #5
Sliders
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Hier die 4 Schritte, die zuerledigen waren.
Hoffe, dass alles richtig gemacht wurde. :-)

1. Schritt: OTL

Zitat:
All processes killed
========== OTL ==========
Service upperdev stopped successfully!
Service upperdev deleted successfully!
File system32\DRIVERS\usbser_lowerflt.sys File not found not found.
Service StarOpen stopped successfully!
Service StarOpen deleted successfully!
File File not found not found.
Service pccsmcfd stopped successfully!
Service pccsmcfd deleted successfully!
File system32\DRIVERS\pccsmcfd.sys File not found not found.
Service adfs stopped successfully!
Service adfs deleted successfully!
File File not found not found.
Error: No service named abnwuirx was found to stop!
Service\Driver key abnwuirx not found.
File File not found not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Registry value HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6552C7DD-90A4-4387-B795-F8F96747DE19}\ not found.
HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "Google" removed from browser.search.selectedEngine
Prefs.js: "www.google.de" removed from browser.startup.homepage
Prefs.js: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{47833539-D0C5-4125-9FA8-0819E2EAAC93} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47833539-D0C5-4125-9FA8-0819E2EAAC93}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\QuickTime Plugin Install deleted successfully.
C:\Programme\QuickTime\Plugins\DeleteMe1.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\UnlockerAssistant deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Windows\CurrentVersion\Run\\EA Core deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3858707057-3470254538-1251288165-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Rainlendar2 deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
File move failed. C:\Windows\System32\mctadmin.exe scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
File move failed. C:\Windows\System32\mctadmin.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\An vorhandene PDF-Datei anfügen\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Linkziel an vorhandene PDF-Datei anhängen\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Linkziel in Adobe PDF konvertieren\ deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3285c3c2-c9b9-11df-b2bc-00238b61c689}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3285c3c2-c9b9-11df-b2bc-00238b61c689}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3285c3c2-c9b9-11df-b2bc-00238b61c689}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3285c3c2-c9b9-11df-b2bc-00238b61c689}\ not found.
File G:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3285c43d-c9b9-11df-b2bc-00238b61c689}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3285c43d-c9b9-11df-b2bc-00238b61c689}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3285c43d-c9b9-11df-b2bc-00238b61c689}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3285c43d-c9b9-11df-b2bc-00238b61c689}\ not found.
File G:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3285c4de-c9b9-11df-b2bc-001e101f4e71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3285c4de-c9b9-11df-b2bc-001e101f4e71}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3285c4de-c9b9-11df-b2bc-001e101f4e71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3285c4de-c9b9-11df-b2bc-001e101f4e71}\ not found.
File G:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d0cc1a8d-e3dd-11de-bf08-00238b61c689}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d0cc1a8d-e3dd-11de-bf08-00238b61c689}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d0cc1a8d-e3dd-11de-bf08-00238b61c689}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d0cc1a8d-e3dd-11de-bf08-00238b61c689}\ not found.
File G:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found.
File G:\setup_vmc_lite.exe /checkApplicationPresence not found.
C:\Windows\System32\cnm26D1.tmp deleted successfully.
C:\Windows\System32\cnm626A.tmp deleted successfully.
C:\Windows\System32\REN8B4E.tmp deleted successfully.
C:\Windows\System32\REN8B6E.tmp deleted successfully.
C:\Windows\System32\tmp9E22.tmp deleted successfully.
C:\Windows\System32\tmp9E33.tmp deleted successfully.
========== FILES ==========
C:\Users\Frederik\AppData\Local\{86DD38A2-C8BD-404A-A1BD-907F6B69C913} folder moved successfully.
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\TEMP not found.
C:\Users\Frederik\AppData\Local\Temp\02B673~1.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\avira_antivir_personal_de.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\EADB3F3.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\FlashPlayerUpdate.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\FlashPlayerUpdate01.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\FlashPlayerUpdate02.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\FP_AX_MSI_INSTALLER.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\jre-6u19-windows-i586-iftw-rv.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\jre-6u20-windows-i586-iftw-rv.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\jre-6u21-windows-i586-iftw-rv.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\jre-6u22-windows-i586-iftw-rv.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\jre-6u23-windows-i586-iftw-rv.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\SecurityScan_Release.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\ubiF7D.tmp.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\uninstall.exe moved successfully.
C:\Users\Frederik\AppData\Local\Temp\ytb.exe moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
File/Folder C:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
File/Folder C:\Windows\System32\*.tmp not found.
File/Folder C:\Windows\SysWOW64\*.tmp not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Frederik\Desktop\cmd.bat deleted successfully.
C:\Users\Frederik\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Frederik
->Temp folder emptied: 1780628826 bytes
->Temporary Internet Files folder emptied: 23525079 bytes
->FireFox cache emptied: 74488911 bytes
->Opera cache emptied: 9658235 bytes
->Flash cache emptied: 57226 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 159295452 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.953,00 mb


OTL by OldTimer - Version 3.2.59.1 log created on 08312012_021253

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\mctadmin.exe scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
2. Schritt: Malwarebytes

Zitat:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.30.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Frederik :: BRONSON [Administrator]

Schutz: Aktiviert

31.08.2012 02:22:52
mbam-log-2012-08-31 (02-22-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 351084
Laufzeit: 2 Stunde(n), 9 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
3. Schritt: AdwCleaner [R1]

Zitat:
# AdwCleaner v2.000 - Datei am 09/01/2012 um 13:30:11 erstellt
# Aktualisiert am 30/08/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (32 bits)
# Benutzer : Frederik - BRONSON
# Normaler Modus : Normal
# Ausgeführt unter : C:\Users\Frederik\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\SOFTWARE\Software

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v14.0.1 (de)

Profilname : default
Datei : C:\Users\Frederik\AppData\Roaming\Mozilla\Firefox\Profiles\9iwyy5rz.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Opera v [Version kann nicht ermittelt werden]

Datei : C:\Users\Frederik\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1003 octets] - [01/09/2012 13:30:11]

########## EOF - C:\AdwCleaner[R1].txt - [1063 octets] ##########
4. Schritt: AdwCleaner [S1]

Zitat:
# AdwCleaner v2.000 - Datei am 09/01/2012 um 13:38:46 erstellt
# Aktualisiert am 30/08/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (32 bits)
# Benutzer : Frederik - BRONSON
# Normaler Modus : Normal
# Ausgeführt unter : C:\Users\Frederik\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Software

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7601.17514

Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

-\\ Mozilla Firefox v14.0.1 (de)

Profilname : default
Datei : C:\Users\Frederik\AppData\Roaming\Mozilla\Firefox\Profiles\9iwyy5rz.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Opera v [Version kann nicht ermittelt werden]

Datei : C:\Users\Frederik\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1132 octets] - [01/09/2012 13:30:11]
AdwCleaner[S1].txt - [1508 octets] - [01/09/2012 13:38:46]

########## EOF - C:\AdwCleaner[S1].txt - [1568 octets] ##########
Für deine bis hierher geleiste Mühen und Zeit:


Alt 01.09.2012, 16:43   #6
t'john
/// Helfer-Team
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Sehr gut!

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
--> GVU-/BSI-Trojaner eingefangen inkl. Webcambild

Alt 02.09.2012, 03:59   #7
Sliders
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



PC läuft wie bisher, alles ruhig.

Hier der Bericht:

Zitat:
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 02.09.2012 03:37:53

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, E:\
Archiv Scan: An
ADS Scan: An

Scan Beginn: 02.09.12 03:39

C:\_OTL\MovedFiles\08312012_021253\C_Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\7b316e3c-5dfc8696 gefunden: Exploit.Java.Blacole!E1
C:\_OTL\MovedFiles\08312012_021253\C_Users\Frederik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\3280925-29fe1507 -> akvcbasvlpdmyn\rghget.class gefunden: JAVA.Agent!E2

Gescannt 616408
Gefunden 2

Scan Ende: 02.09.12 04:53
Scan Zeit: 01:14:31

Alt 02.09.2012, 08:59   #8
t'john
/// Helfer-Team
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Sehr gut!



Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
__________________
Mfg, t'john
Das TB unterstützen

Alt 02.09.2012, 16:36   #9
Sliders
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Alle vorhandene Festplatten angeschlossen, war ne gute Idee.

Scan mit Eset:

Zitat:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3aa4ec6cc4a0ea49b31b5b2534192dd8
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-09-02 03:24:45
# local_time=2012-09-02 05:24:45 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=768 16777215 100 0 62173373 62173373 0 0
# compatibility_mode=5893 16776574 100 94 44272559 98218562 0 0
# compatibility_mode=8192 67108863 100 0 345 345 0 0
# scanned=229489
# found=3
# cleaned=3
# scan_time=12284
G:\Sonstiges\Sonstiges1\Treiber und Programme\EAC- Exact Audio Copy\eac-0.99pb4.exe a variant of Win32/Adware.ADON application (cleaned by deleting - quarantined) 0
G:\Sonstiges\Sonstiges2\Treiber, musik, sonmstiges\eac-0.99pb5.exe Win32/Adware.ADON application (cleaned by deleting - quarantined) 0
H:\System Volume Information\_restore{742FA692-BE8C-44F7-8E38-2821AE03ABE1}\RP118\A0027054.exe a variant of Win32/Adware.ADON application (cleaned by deleting - quarantined) 0

Alt 03.09.2012, 18:55   #10
t'john
/// Helfer-Team
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 7 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck


Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Alt 04.09.2012, 01:37   #11
Sliders
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Habe soweit alles erledigt, konnte aber Java(TM) 6 Update 20 und Java(TM) 6 Update 23 nicht löschen.

Bei Update 20 wird mir angezeigt:

"Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor.
Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt
werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Paketes."

Bei Update 23 steht das gleiche, nur das im Fenster (wo der obige Text steht) Update 16 steht statt Update 23.


PluginCheck
Zitat:
Firefox 14.0.1 ist aktuell

Flash (11,4,402,265) ist aktuell.

Java (1,7,0,7) ist aktuell.

Adobe Reader 10,1,4,38 ist aktuell.
PluginCheck mit deaktivierten Java:
Zitat:

Firefox 14.0.1 ist aktuell

Flash (11,4,402,265) ist aktuell.

Java ist Installiert aber nicht aktiviert.

Adobe Reader 10,1,4,38 ist aktuell.

Alt 04.09.2012, 18:16   #12
t'john
/// Helfer-Team
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

  • Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
  • temporäre Dateien löschen.




Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 07.09.2012, 00:40   #13
Sliders
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Dann bedanke ich mich für deine investierte Zeit und Mühen, hat alles gut geklappt.

Hast du zu guter letzt noch paar Tipps parat, was man in Zukunft machen/beachten sollte?

Welches Antivirenprogramm kannst mir empfehlen?
Habe derzeit Microsoft Essentials (deaktiviert, da ich gelesen habe, dass man nur ein Antivirenprogramm laufen lassen sollte) und Avast Free.

Alt 07.09.2012, 17:52   #14
t'john
/// Helfer-Team
 
GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Standard

GVU-/BSI-Trojaner eingefangen inkl. Webcambild



Zitat:
Microsoft Essentials
Reicht auch.

Viel wichtiger ist ein aktuell gehaltenes System.
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu GVU-/BSI-Trojaner eingefangen inkl. Webcambild
administrator, anti-malware, appdata, autostart, bräuchte, check, dateien, eingefangen, explorer, gelöscht, gen, laptop, malwarebytes, neustart, problem, programme, pup.bundleinstaller.vg, quarantäne, roaming, scan, scanner, service, speicher, test, trojan.agent.vgenx, version, video




Ähnliche Themen: GVU-/BSI-Trojaner eingefangen inkl. Webcambild


  1. Bestätigter Virus - Analyse/Säuberung des Trojaner/Keylogger inkl. Ursprungsdatei
    Plagegeister aller Art und deren Bekämpfung - 15.08.2015 (8)
  2. Win7-32bit: (GVU?) Trojaner inkl. Foto via WebCam
    Plagegeister aller Art und deren Bekämpfung - 16.10.2013 (7)
  3. GVA-Trojaner mit Webcambild, abgesicherter Modus mit Eingabeaufforderung nicht möglich
    Log-Analyse und Auswertung - 10.10.2013 (9)
  4. GVU Trojaner mit webcambild sperrt win7
    Log-Analyse und Auswertung - 27.06.2013 (1)
  5. GVU Trojaner inkl. Webcam
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (8)
  6. Polizei Trojaner inkl. Webcam, Abgesicherter Modus funktioniet nicht!
    Log-Analyse und Auswertung - 03.11.2012 (11)
  7. BKA-Trojaner (inkl. Logs)
    Log-Analyse und Auswertung - 27.10.2012 (2)
  8. GVU Trojaner 2.04 mit einem WebcamBild
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (2)
  9. GVU Trojaner, Prüfung MBR (inkl. Log-Files)
    Log-Analyse und Auswertung - 21.08.2012 (2)
  10. GVU Trojaner mit Webcambild - Logfiles dabei
    Log-Analyse und Auswertung - 20.07.2012 (21)
  11. GVU Trojaner inkl. rundll-Probleme beim Systemstart
    Plagegeister aller Art und deren Bekämpfung - 20.07.2012 (12)
  12. GVU (2.04 ähnlich) mit Webcambild auf Win7-64
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (3)
  13. GVU-Trojaner mit Webcambild
    Log-Analyse und Auswertung - 04.07.2012 (1)
  14. Trojaner, Schwarzer Bildschirm inkl. Deutschlandflagge, 50 Euro
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (23)
  15. BKA Trojaner inkl. Logfile
    Log-Analyse und Auswertung - 30.12.2011 (4)
  16. Diverse Trojaner (inkl.AntiVir Bericht)!
    Plagegeister aller Art und deren Bekämpfung - 05.08.2008 (6)
  17. Hilfe, Trojaner! Logfile inkl!
    Log-Analyse und Auswertung - 04.02.2007 (30)

Zum Thema GVU-/BSI-Trojaner eingefangen inkl. Webcambild - Hallo, leider gehöre auch zu denen die sich den GVU-/BSI-Tronjaner eingefangen haben. Zum Glück konnte beim Neustart + F8 den Laptop wieder zum Laufen bringen. Auf einem anderen PC konnte - GVU-/BSI-Trojaner eingefangen inkl. Webcambild...
Archiv
Du betrachtest: GVU-/BSI-Trojaner eingefangen inkl. Webcambild auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.