Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 09.01.2013, 05:33   #1
-Hicks-
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Rotes Gesicht

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Liebes Trojaner-Board Team,

leider muss ich etwas ausholen:
Ich habe das Laptop im August/September neu aufgesetzt, weil er sehr langsam war und ich mich plötzlich nicht mehr auf dem Server meines Chefs einloggen konnte!

Doch direkt danach:
Hat mir das Netzwerk meines Chefs gesagt, dass das kein sicheres Laptop ist und er mich nicht ins Netz lässt!
(Ich habe keinen Verdacht geschöpft, denn da konnte ja kein Virus sein, das Laptop ist ja soeben erst formatiert und neu aufgesetzt worden )
Außerdem war/ist es immer noch langsam und beim Seitenaufbau und Programm/e öffnen ging es sogar noch langsamer, es wurde sehr heiß - schon beim Starten -
und seit etwa Mitte/Ende Oktober kam dann ab-und-zu plötzliches Abschalten ohne Vorwarnung dazu und keinerlei Fehlermeldung, beim Neustart!

Seit 08.01.2013 20.00h läuft es - nach einer "Inspektion":
Keine Änderung am Tempo, aber er bleibt an und wird nicht mehr heiß!!!
Das Gerät wurde mit Druckluft durch geblasen, da sich der Lüfter/Kühler/Ventilator mit Staub zugesetzt hatte!
Beim ersten Öffnen des Firefox, ist mir dann eine Toolbar entgegen gesprungen, die da nicht sein sollte!
Der "Inspekteur" hat mir versichert, das er keine Programme außer einem Diagnoseprogramm (SpeedFan)
installiert hat und dieses nach getaner Arbeit wieder gelöscht hat!

Nach meiner Nachforschung stellte sich herraus, das "etwas" einfach verschiedene Software installiert hat!
Ist schon deinstalliert, da ich da noch keinen Verdacht geschöpft hatte!!!
Es handelte sich um eine Toolbar, eine Suchmaschine für Sozialenetzwerke und ein Programm, das mir nicht mehr einfällt!
Bei der Suche nach weiterer ungewollter Software ist mir auch das Programm "SAVING SIDEKICK" begegnet!
Es ist laut Installationsdatum schon vom 02.09.2012!!!

Daraufhin habe ich im Internet geschaut was das ist und bin dabei auf Eurer Seite gelandet!
Hier habe ich mir einige Threads durchgelesen und dann Punkt 1-3 abgehakt, malwarebytes (quick) durchlaufen lassen und mich dann registriert!
Nach dem Check von Malwarebytes habe ich aber noch nichts gelöscht!
Die nun 4 *.txt-Dateien sind im Anhang - editiert!

Ach so, mse von microsoft hat NIE auch nur irgendetwas angemeckert!!! Auch gestern/heute nicht! Könntet Ihr mir ein Programm empfehlen?
Ich überlege mir gData InternetSecurity 2013 zuzulegen!?

Och nööö, jetzt fängt der Thunderbird an rum zu spinnen - er informiert mich über Mails, obwohl er geschlossen ist!

So, ich hoffe ich habe nichts vergessen!

Es wäre sehr nett, wenn sich jemand aus dem Team auch um diesen Pflegefall kümmern könnte! Vielen ♥-lichen Dank schon mal im Voraus!!!


Mit hoffnungsvollen Grüßen
Pia A. aka. -Hicks-

Alt 09.01.2013, 12:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Standard

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Hallo und

Zitat:
weil er sehr langsam war und ich mich plötzlich nicht mehr auf dem Server meines Chefs einloggen konnte!
Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.
__________________

__________________

Alt 09.01.2013, 16:52   #3
-Hicks-
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Rotes Gesicht

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Hallöle,

kann ich gut nachvollziehen, dass Ihr keine Firmenrechner bearbeitet!


Zur Er-/Klärung:
Mein Chef hat eine Ein-Personen-Firma (Darf ich Euch den Namen nennen? Es ist ein Onlineshop für Druckerzubehör und ein wenig Bürobedarf), bei der ich als Minijober MANCHMAL für Rechnungen zuständig bin - von zu hause aus! Höchstens 50Std im Monat! Es gibt keinen IT-Support in dieser Firma!

Seit der Neuinstallation im September ist dieses Laptop nicht mehr für gewerbliche Dinge genutzt worden, da sich ja nichts an dem Problem geändert hatte!
- Die Verbindungsmöglichkeit zum Server haben WIR also gar nicht mehr eingerichtet!

Fazit:
Es sind keine Firmendaten o.ä. auf dem Rechner! Nur Privatkram!

- Mein Chef weiß noch gar nicht, das ich einen Trojaner eingefangen habe! Humor ist, wenn man trotzdem lacht!

Bin ich jetzt bei Euch richtig?
Bitte!

Auf eine Spende dürft Ihr Euch dann AUF JEDEN FALL freuen/gefasst machen!!!


Mit freundlichem Gruß
Pia A. aka. -Hicks-
__________________

Geändert von -Hicks- (09.01.2013 um 17:24 Uhr)

Alt 09.01.2013, 23:42   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Standard

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.01.2013, 10:09   #5
-Hicks-
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Rotes Gesicht

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Zitat:
Zitat von cosinus Beitrag anzeigen
Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!
Hallo Cosinus,

alles was ich habe ist in der nochmals angehängten zip-Datei (logfiles.zip) - diese Datei beinhaltet die txt-Dateien aus den "geforderten ersten drei Schritten" (Checkliste)!
D.h. OTL.txt, EXTRAS.txt und Gmer.txt - zusätzlich ist die malwarebytes-txt-Datei mit bei!

Da ich grad kein zweites Zitat hinbekomme, mache ich das mal so:
ZITAT aus meiner ersten Mail:
"Daraufhin habe ich im Internet geschaut was das ist und bin dabei auf Eurer Seite gelandet!
Hier habe ich mir einige Threads durchgelesen und dann Punkt 1-3 abgehakt, malwarebytes (quick) durchlaufen lassen und mich dann registriert!
Nach dem Check von Malwarebytes habe ich aber noch nichts gelöscht!
Die nun 4 *.txt-Dateien sind im Anhang - editiert!"
ZITATENDE

Die Dateien sind alle fertig editiert.
Ach, ich habe bei Malwarebytes nicht den QUICK-scan sondern den VOLLSTÄNDIGEN-scan durchlaufen lassen!

mse von Microsoft hat NIE irgendwelche Funde gehabt!

Also habe ich auch gar keine anderen log Dateien!

Vielen Dank für die Mühe!

MfG
Pia A. aka. -Hicks-


Alt 10.01.2013, 16:48   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Standard

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Mal eine kurze Frage, das ist jetzt nichts speziell gegen dich, ich hätte auch jeden anderen fragen können der die Logs so postet - wo bitte steht, dass die Logs in den Anhang gelegt werden sollen bzw. wo genau hast du das herausgelesen?

Logfiles im Anhang erschweren die Auswertung massivst

Bitte um Erläuterung damit man die Textstelle in der Anleitung für alle Neulinge mal gezielt ändern/verbessern kann. Danke.
Zitat:
Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________
--> Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden

Alt 12.01.2013, 11:38   #7
-Hicks-
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Rotes Gesicht

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Guten Tag,

*Zähne knirsch*

Auf der Seite der Checkliste steht eine Anleitung von "Da GuRu", aus der ich das so übernommen habe!
*doppelt Zähne knirsch*

Vielleicht hätte ich mir nicht nur die Anleitung durchlesen sollen, sondern auch die Überschrift!

*peinlich*

Ich versuche es jetzt nochmal nach Deiner Anleitung! Ok!?

Ist mir echt unangenehm! Sorry!

1. OTL

Code:
ATTFilter
OTL logfile created on: 09.01.2013 02:07:16 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\***\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,86 Gb Total Physical Memory | 1,95 Gb Available Physical Memory | 50,35% Memory free
7,73 Gb Paging File | 5,88 Gb Available in Paging File | 76,11% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 150,39 Gb Total Space | 112,91 Gb Free Space | 75,08% Space Free | Partition Type: NTFS
Drive D: | 315,27 Gb Total Space | 282,50 Gb Free Space | 89,61% Space Free | Partition Type: NTFS
 
Computer Name: PINK | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.09 01:47:30 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe
PRC - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.12.18 09:10:54 | 001,807,800 | ---- | M] (Adobe Systems, Inc.) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_5_502_135.exe
PRC - [2012.12.01 00:20:08 | 000,916,960 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
PRC - [2012.11.20 18:02:32 | 000,388,576 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
PRC - [2012.09.06 12:12:20 | 000,162,408 | ---- | M] (Geek Software GmbH) -- C:\Program Files (x86)\PDF24\pdf24.exe
PRC - [2012.09.02 19:03:48 | 000,660,960 | ---- | M] () -- C:\ProgramData\IBUpdaterService\ibsvc.exe
PRC - [2009.11.04 12:11:48 | 000,835,072 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files (x86)\Samsung\Easy Display Manager\dmhkcore.exe
PRC - [2009.10.13 18:03:04 | 000,716,800 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files (x86)\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
PRC - [2009.06.03 19:59:02 | 000,103,720 | ---- | M] (CyberLink) -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
PRC - [2009.04.15 22:52:06 | 000,091,432 | ---- | M] (CyberLink Corp.) -- C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe
PRC - [2009.03.30 14:00:54 | 000,221,184 | ---- | M] (Brother Industries, Ltd.) -- C:\Program Files (x86)\Brother\Brmfcmon\BrMfcmon.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.12.18 09:10:53 | 014,586,296 | ---- | M] () -- C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll
MOD - [2012.12.01 00:19:39 | 002,397,152 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
MOD - [2012.11.20 18:02:36 | 002,240,992 | ---- | M] () -- C:\Program Files (x86)\Mozilla Thunderbird\mozjs.dll
MOD - [2012.11.20 18:02:35 | 000,157,664 | ---- | M] () -- C:\Program Files (x86)\Mozilla Thunderbird\NSLDAP32V60.dll
MOD - [2012.11.20 18:02:35 | 000,021,984 | ---- | M] () -- C:\Program Files (x86)\Mozilla Thunderbird\NSLDAPPR32V60.dll
MOD - [2011.03.16 23:11:16 | 004,297,568 | ---- | M] () -- C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE14\Cultures\office.odf
MOD - [2009.06.03 19:59:14 | 000,013,096 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvcPS.dll
MOD - [2009.06.03 19:59:02 | 000,619,816 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMediaLibrary.dll
MOD - [2009.02.27 15:38:20 | 000,139,264 | R--- | M] () -- C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll
MOD - [2006.08.12 11:48:40 | 000,049,152 | ---- | M] () -- C:\Program Files (x86)\Samsung\Easy Display Manager\HookDllPS2.dll
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.12.01 00:20:07 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.11.09 11:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.09.12 20:21:48 | 000,368,896 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Security Client\NisSrv.exe -- (NisSrv)
SRV - [2012.09.12 20:21:48 | 000,022,072 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2012.09.02 19:03:48 | 000,660,960 | ---- | M] () [Auto | Running] -- C:\ProgramData\IBUpdaterService\ibsvc.exe -- (IBUpdaterService)
SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.01.09 20:34:24 | 004,925,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.10.24 00:54:14 | 000,057,856 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2012.10.24 00:54:14 | 000,019,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV:64bit: - [2012.08.30 21:03:48 | 000,128,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\NisDrvWFP.sys -- (NisDrv)
DRV:64bit: - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.12.13 02:32:22 | 002,797,056 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\athrx.sys -- (athr)
DRV:64bit: - [2011.10.05 13:51:44 | 000,083,488 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)
DRV:64bit: - [2011.09.20 19:43:34 | 002,793,568 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\athwx.sys -- (AR5416)
DRV:64bit: - [2011.09.14 14:58:38 | 000,398,112 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\yk62x64.sys -- (yukonw7)
DRV:64bit: - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.11.20 14:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2009.05.28 14:38:04 | 000,013,824 | ---- | M] (SAMSUNG ELECTRONICS) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\SABI.sys -- (SABI)
DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.msn.com/?ocid=EIE9HP&PC=UP50
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=hp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = AF 66 D6 DC 90 88 CD 01  [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_135.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~2\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\amazon.com/AmazonMP3DownloaderPlugin: C:\Program Files (x86)\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin101753.dll (Amazon.com, Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.12.01 00:20:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.11.11 11:36:34 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\specialsavings@superfish.com: C:\Users\Pia Albrecht\AppData\Roaming\Mozilla\Firefox\Profiles/psex1rw3.default\extensions\specialsavings@superfish.com
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.12.01 00:20:08 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
 
[2012.09.01 23:16:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions
[2012.09.01 23:20:16 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\9xh2303k.default\extensions
[2013.01.09 01:22:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions
[2012.09.01 23:33:00 | 000,000,000 | ---D | M] (Xultris) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions\{bed1bcec-57d3-47e1-a32b-b4e5f3003019}
[2012.09.01 23:32:59 | 000,000,000 | ---D | M] (Wörterbuch Deutsch (de-DE), Hunspell-unterstützt) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions\de_DE@dicts.j3e.de
[2012.10.14 10:17:12 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions\de-DE@dictionaries.addons.mozilla.org
[2011.10.08 00:41:41 | 000,074,405 | ---- | M] () (No name found) -- C:\Users\***\AppData\Roaming\mozilla\firefox\profiles\psex1rw3.default\extensions\{bed1bcec-57d3-47e1-a32b-b4e5f3003019}.xpi
[2012.11.23 22:00:46 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\***\AppData\Roaming\mozilla\firefox\profiles\psex1rw3.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012.12.01 00:19:34 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.12.01 00:20:08 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.10.11 20:58:15 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.10.11 20:58:15 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.10.11 20:58:15 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.10.11 20:58:15 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.10.11 20:58:15 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.10.11 20:58:15 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2:64bit: - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Savings Sidekick) - {11111111-1111-1111-1111-110011501160} - C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.dll (215 Apps)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~3\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~3\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4:64bit: - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4:64bit: - HKLM..\Run: [NvCplDaemon] C:\Windows\SysNative\NvCpl.dll (NVIDIA Corporation)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [CLMLServer] C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
O4 - HKLM..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [PDFPrint] C:\Program Files (x86)\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Program Files (x86)\CyberLink\PowerDVD8\Language\Language.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RemoteControl8] C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdateLBPShortCut] C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdateP2GoShortCut] C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePDRShortCut] C:\Program Files (x86)\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePPShortCut] C:\Program Files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePSTShortCut] C:\Program Files (x86)\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8:64bit: - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O8:64bit: - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found
O9:64bit: - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AE43CB0D-9978-49C9-8EDA-B608B174A5D4}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CC6D46AE-DDC3-4316-8F73-97738449BD1A}: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18:64bit: - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28:64bit: - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~3\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.09 01:47:30 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Pia Albrecht\Desktop\OTL.exe
[2013.01.09 01:42:54 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\20130109
[2013.01.09 01:13:57 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes
[2013.01.09 01:12:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.01.09 01:12:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.01.09 01:12:52 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.01.09 01:12:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2013.01.09 01:10:48 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Programs
[2013.01.08 21:25:10 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD 8
[2013.01.04 00:09:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SpeedFan
[2013.01.03 23:06:29 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Wajam
[2013.01.03 23:05:37 | 000,000,000 | ---D | C] -- C:\ProgramData\APN
[2013.01.03 22:58:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Motherboard Monitor 5
[2012.12.16 13:00:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.12.16 13:00:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Skype
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.09 02:06:16 | 000,365,568 | ---- | M] () -- C:\Users\***\Desktop\gmer-2.0.18444.exe
[2013.01.09 01:47:30 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe
[2013.01.09 01:45:18 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable
[2013.01.09 01:41:29 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\Defogger.exe
[2013.01.09 01:12:53 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.09 01:11:23 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.01.09 01:11:23 | 000,654,166 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.01.09 01:11:23 | 000,616,008 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.01.09 01:11:23 | 000,130,006 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.01.09 01:11:23 | 000,106,388 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.01.08 21:32:07 | 000,013,760 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.01.08 21:32:07 | 000,013,760 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.01.08 21:23:37 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.01.08 21:22:49 | 3111,555,072 | -HS- | M] () -- C:\hiberfil.sys
[2013.01.04 00:09:09 | 000,000,045 | ---- | M] () -- C:\Windows\SysWow64\initdebug.nfo
[2012.12.21 10:16:58 | 000,427,840 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.12.16 13:00:47 | 000,002,517 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.12.14 16:49:28 | 000,024,176 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.09 02:06:15 | 000,365,568 | ---- | C] () -- C:\Users\***\Desktop\gmer-2.0.18444.exe
[2013.01.09 01:45:18 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable
[2013.01.09 01:41:29 | 000,050,477 | ---- | C] () -- C:\Users\***\Desktop\Defogger.exe
[2013.01.09 01:12:53 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.04 00:09:08 | 000,000,045 | ---- | C] () -- C:\Windows\SysWow64\initdebug.nfo
[2012.09.03 09:21:54 | 000,000,241 | ---- | C] () -- C:\Windows\Brpfx04a.ini
[2012.09.03 09:21:54 | 000,000,093 | ---- | C] () -- C:\Windows\brpcfx.ini
[2012.09.03 09:20:55 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2012.09.03 09:20:55 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2012.09.03 09:17:41 | 000,000,000 | ---- | C] () -- C:\Windows\brdfxspd.dat
[2012.09.02 21:23:46 | 000,000,002 | ---- | C] () -- C:\Windows\HotFixList.ini
[2012.09.02 19:25:27 | 000,000,000 | ---- | C] () -- C:\Windows\HPMProp.INI
[2012.09.01 22:40:28 | 001,500,444 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2012.12.07 15:09:27 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Amazon
[2012.12.02 11:55:37 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\JLAdventCalendarAlpine2012
[2012.10.31 23:20:39 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\JLAdventCalendarClassic2011
[2012.09.02 00:45:37 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\JLAdventCalendarLondon2011
[2012.09.01 23:04:56 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\pdfforge
[2012.09.01 23:37:18 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Thunderbird
 
========== Purity Check ==========
 
 

< End of report >
         
2. Extras

Code:
ATTFilter
OTL Extras logfile created on: 09.01.2013 02:07:16 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\***\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,86 Gb Total Physical Memory | 1,95 Gb Available Physical Memory | 50,35% Memory free
7,73 Gb Paging File | 5,88 Gb Available in Paging File | 76,11% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 150,39 Gb Total Space | 112,91 Gb Free Space | 75,08% Space Free | Partition Type: NTFS
Drive D: | 315,27 Gb Total Space | 282,50 Gb Free Space | 89,61% Space Free | Partition Type: NTFS
 
Computer Name: PINK | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0E779B1A-4120-40EE-BFBD-BF0BE4ED7F8B}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{20665F67-2CE1-4B36-ADB7-5D7D000A1663}" = lport=138 | protocol=17 | dir=in | app=system | 
"{232EDA45-F1A4-4807-BF5F-4A9C6ADE601C}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{263EFA2C-1BDB-4DCB-806B-BAC503F31997}" = lport=445 | protocol=6 | dir=in | app=system | 
"{26C74827-0C09-4F24-9C16-3FA77C8CA536}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{2BA7F4CB-5CB5-46B1-99CF-DFF82BE78DD4}" = rport=137 | protocol=17 | dir=out | app=system | 
"{2FCCF13E-2417-4144-8552-50B30FFBC497}" = rport=139 | protocol=6 | dir=out | app=system | 
"{39337DCD-80FC-4303-AA28-C05F3151AE42}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{3C85EDE6-1842-41FC-BAEE-EE7FEB59717B}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{4725BBE2-47F0-4960-B8A7-21B84C61B8E5}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{48C37966-4598-42F7-A265-90D4C2732F47}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{5082192D-7016-49E9-A698-7E4AA84E1617}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{57C3D9BF-14D4-462F-81D5-C3E39F9050B4}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{5BA14985-60F7-488A-80D1-45F4BAC192AE}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{7C4E96AE-F2A9-4AF3-8093-C700B98C30F2}" = lport=137 | protocol=17 | dir=in | app=system | 
"{81150E2D-64E9-493F-B8DC-9C355188F055}" = rport=138 | protocol=17 | dir=out | app=system | 
"{8E97201E-37C5-49F2-AFBE-AB4848851947}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\outlook.exe | 
"{9FE3F0F8-D83C-4866-84B9-CB51FC2CA21D}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{A721C789-3CB2-4E3E-A7B6-DA84AA688FCB}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{A975C81E-ED33-405F-B86D-1FB3C2065C65}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{CD54ED01-596B-40EC-9AE7-A4D91ABDC096}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{D012CA70-BD75-42F3-8CC4-FA1E5119FC74}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{F1A14BFB-E860-432D-B589-63A0ECCCEA04}" = lport=139 | protocol=6 | dir=in | app=system | 
"{F71AB340-E423-4582-9178-023F1ED3B362}" = rport=445 | protocol=6 | dir=out | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00818A32-CEC8-4918-A812-7DE4BA29CB66}" = protocol=6 | dir=in | app=c:\program files (x86)\sweetim\communicator\sweetpacksupdatemanager.exe | 
"{03F58712-497D-4188-BD29-9A7588C4BED0}" = dir=in | app=c:\program files (x86)\cyberlink\powerdvd8\powerdvd8.exe | 
"{27B11F11-492E-4025-B454-7B28F84EA7C5}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe | 
"{2F82FC56-26DD-4152-A4A9-103CFF99C614}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{322F49A4-3E89-4DA4-86BE-BE05D2F72DA7}" = dir=in | app=c:\program files (x86)\common files\apple\apple application support\webkit2webprocess.exe | 
"{330B6293-FFA9-4176-A16C-C9C487B8D4F8}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{3AC76464-A363-4493-8EDC-6B907F63E67E}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{3E187ADE-8E14-4EEA-804B-9BD27EBD7E0D}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{420733B1-2A83-4EA2-8AFA-801DD4C597F2}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{468B4194-908B-46BD-B451-463860C8F011}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{4825C8EB-81F3-4958-AD3B-51983403CF88}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe | 
"{499D23E5-9D59-42B9-90F3-A09DCB272AB7}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{4F95E4B8-B609-4847-A89C-6761683526E1}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"{53EAC81C-C2FF-4086-8823-75D4418DCBE2}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{587D6ED7-9FD9-4606-B035-62C8D1D9AA2F}" = dir=in | app=c:\program files (x86)\cyberlink\powerdirector\pdr.exe | 
"{5CC77C25-507C-449D-9D37-FEDAC495CB2E}" = protocol=17 | dir=in | app=c:\program files (x86)\sweetim\communicator\sweetpacksupdatemanager.exe | 
"{5E0756DD-10B7-4DD5-A256-B2502A985E0F}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{61FFBEE3-A8DD-46CD-8E7A-5B8124FE7264}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{776AFE87-85CE-463B-AA48-09040800D8B8}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{7900C459-3D50-40C2-99DA-8F2D44DDE276}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{931AAFF3-0227-485E-B919-2C5B7EDBE87D}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{C49D3784-C087-4DC0-B3AC-3CB7828BD65D}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{C579F04E-A95A-4EE9-B3F4-5FF2C736793D}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{C907A894-D26A-48C3-9806-F83D84E87627}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{D09274A0-C98E-432E-A4FD-DB757E66DA4B}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe | 
"{D5E6B8FD-32FC-4217-9BF4-E14351D2805F}" = protocol=17 | dir=in | app=c:\windows\syswow64\msiexec.exe | 
"{D75F654B-CF92-4270-BBC9-44D74A58BEAD}" = protocol=6 | dir=out | app=system | 
"{F1D21D29-F4D7-47A4-A29C-A086131527C1}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{F4132ADA-F668-48EA-8E0E-E4DF4F3D2E2B}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{F4A3A9D7-6489-447B-8535-DC2BF1215F94}" = protocol=6 | dir=in | app=c:\windows\syswow64\msiexec.exe | 
"{F4A4A18B-CC3F-483C-98DC-29809C260D03}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{377672F0-6B8A-467D-8DDC-79338BCCD531}" = 64 Bit HP CIO Components Installer
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90140000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2010
"{90140000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2010
"{C78D3032-9DFD-41D0-9DE9-58EAE750CBA4}" = Microsoft Security Client
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft Security Client" = Microsoft Security Essentials
"NVIDIA Drivers" = NVIDIA Drivers
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{14DC0059-00F1-4F62-BD1A-AB23CD51A95E}" = Adobe AIR
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{48D082B9-18F6-4426-AFAC-8B6A3E7021B1}" = Brother MFL-Pro Suite MFC-290C
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6A462C3E-955D-FFE1-ED19-268969DEBBBE}" = Jacquie Lawson Alpine Advent Calendar
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 4.9.0
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUSR_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUSR_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUSR_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0000-1000-0000000FF1CE}_Office14.PROPLUSR_{967EF02C-5C7E-4718-8FCB-BDC050190CCF}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0407-1000-0000000FF1CE}_Office14.PROPLUSR_{594128C9-2CDF-43CE-8103-DC100CF013B6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{91140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A19E1C26-6DAF-AFDC-4EFF-EFF7FA36F72D}" = Jacquie Lawson London Advent Calendar
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Deutsch
"{AF0CE7C0-A3E4-4D73-988B-B29187EC6E9A}" = QuickTime
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}" = Internet Explorer Toolbar 4.6 by SweetPacks
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F5266D28-E0B2-4130-BFC5-EE155AD514DC}" = Apple Application Support
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.17
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"InstallShield_{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"JLAdventCalendarAlpine2012" = Jacquie Lawson Alpine Advent Calendar
"JLAdventCalendarLondon2011" = Jacquie Lawson London Advent Calendar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Marvell Miniport Driver" = Marvell Miniport Driver
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"Mozilla Thunderbird 17.0 (x86 de)" = Mozilla Thunderbird 17.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NAVIGON Fresh" = NAVIGON Fresh 3.4.1
"Office14.PROPLUSR" = Microsoft Office Professional Plus 2010
"Savings Sidekick" = Savings Sidekick
"Updater Service" = Updater Service
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 20.11.2012 21:21:59 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:21:59.507]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
Error - 20.11.2012 21:22:01 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:01.051]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
Error - 20.11.2012 21:22:02 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:02.596]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
Error - 20.11.2012 21:22:04 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:04.140]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
Error - 20.11.2012 21:22:05 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:05.684]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
Error - 20.11.2012 21:22:07 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:07.229]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
Error - 20.11.2012 21:22:08 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:08.773]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
Error - 20.11.2012 21:22:10 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:10.318]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
Error - 20.11.2012 21:22:11 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:11.862]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
Error - 20.11.2012 21:22:13 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:13.406]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2   
 
[ System Events ]
Error - 03.01.2013 18:40:42 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:42.698247900Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:40:42 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:42.764251600Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:40:42 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:42.898259300Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:40:43 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:43.099270800Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:40:43 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:43.300282300Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:41:40 | Computer Name = PINK | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?03.?01.?2013 um 23:39:14 unerwartet heruntergefahren.
 
Error - 03.01.2013 18:42:07 | Computer Name = PINK | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   cdrom
 
Error - 04.01.2013 08:33:57 | Computer Name = PINK | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?04.?01.?2013 um 00:18:25 unerwartet heruntergefahren.
 
Error - 04.01.2013 08:34:45 | Computer Name = PINK | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   cdrom
 
Error - 08.01.2013 15:39:39 | Computer Name = PINK | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst ShellHWDetection erreicht.
 
 
< End of report >
         
3. Gmer

Code:
ATTFilter
GMER 2.0.18444 - hxxp://www.gmer.net
Rootkit scan 2013-01-09 02:59:44
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 SAMSUNG_HN-M500MBB rev.2AR10001 465,76GB
Running: gmer-2.0.18444.exe; Driver: C:\Users\PIAALB~1\AppData\Local\Temp\pxldapoc.sys


---- User code sections - GMER 2.0 ----

.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17      00000000757a1401 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17        00000000757a1419 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17      00000000757a1431 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42      00000000757a144a 2 bytes [7A, 75]
.text    ...                                                                                                                             * 9
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17         00000000757a14dd 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17  00000000757a14f5 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17         00000000757a150d 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17  00000000757a1525 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17        00000000757a153d 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17             00000000757a1555 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17      00000000757a156d 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17        00000000757a1585 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17           00000000757a159d 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17        00000000757a15b5 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17      00000000757a15cd 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20  00000000757a16b2 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31  00000000757a16bd 2 bytes [7A, 75]

---- Threads - GMER 2.0 ----

Thread   C:\ProgramData\IBUpdaterService\ibsvc.exe [1984:1996]                                                                           0000000010078d61
Thread   C:\ProgramData\IBUpdaterService\ibsvc.exe [1984:2016]                                                                           0000000010078d61
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:780]                                                           0000000067ec6f0a
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4360]                                                          00000000685f9b9b
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4424]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4432]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4420]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4416]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3272]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4412]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3900]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3312]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4340]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4336]                                                          0000000077022e25
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4900]                                                          00000000725027e1
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4892]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4876]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:900]                                                           00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2344]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3040]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2892]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4320]                                                          00000000729427c1
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4992]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4580]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3896]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:1824]                                                          00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2108]                                                          0000000077023e45
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:968]                                                           00000000696cc724
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2200]                                                          00000000728f46fa
Thread   C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2628]                                                          0000000077023e45
---- Processes - GMER 2.0 ----

Library  ? (*** suspicious ***) @ C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [4812]     000007fefed40000

---- Disk sectors - GMER 2.0 ----

Disk     \Device\Harddisk0\DR0                                                                                                           unknown MBR code

---- EOF - GMER 2.0 ----
         
4. malwarebytes

Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.08.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: PINK [Administrator]

09.01.2013 03:23:07
MBAM-log-2013-01-09 (04-08-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 334849
Laufzeit: 29 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> 1984 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 13
HKCR\CLSID\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{44444444-4444-4444-4444-440044504460} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCR\Interface\{55555555-5555-5555-5555-550055505560} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0005060.BHO.1 (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Savings Sidekick (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Updater Service (PUP.InstallBrain) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKCU\Software\InstalledBrowserExtensions\215 Apps|5060 (PUP.CrossFire.SA) -> Daten: Savings Sidekick -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\ProgramData\IBUpdaterService (PUP.InstallBrain) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.

Infizierte Dateien: 10
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.dll (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.exe (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings SidekickGui.exe (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Uninstall.exe (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> Keine Aktion durchgeführt.
C:\ProgramData\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings SidekickInstaller.log (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.ico (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.ini (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Savings Sidekick\Chrome\Savings Sidekick.crx (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.

(Ende)
         
I'm so sorry! - Ich schäme mich ja sooo sehr! Das kann ich gar nicht in Worte fassen!

Ich gelobe Besserung!
Versprochen!

MfG
Pia A. aka. -Hicks-

Alt 12.01.2013, 15:56   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Standard

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.01.2013, 17:55   #9
-Hicks-
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Rotes Gesicht

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Hallo Cosinus,

hoffentlich strapaziere ich nicht Deine Nerven!!!

Nun ist schon wieder alles anders!

Ich habe heute wider Erwarten ein neues Laptop bekommen und mache dieses hier nun platt!

Vielen dank Dir für Deine Mühen!

Ich möchte Dir / Euch einen Obolus zukommen lassen - sagen wir 30,-€ - ist das i.O.?

Mit freundlichem Gruß
Pia A. aka. -Hicks-

Alt 13.01.2013, 19:18   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Standard

Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden



Schon ok und danke für die großzügige Spende
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden
beim starten, check, einloggen, fehlermeldung, firefox, gdata, gelöscht, langsam, laptop, malwarebytes, microsoft, netzwerk, neustart, programme, pup.crossfire.sa, pup.crossrider.ssk, pup.installbrain, saving, security, sehr langsam, server, software, starten, suche, suchmaschine, trojaner, trojaner-board, virus



Ähnliche Themen: Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden


  1. Manuell Wagner/Trojaner Rechnung.exe aus versehen geöffnet…Was tun?
    Alles rund um Mac OSX & Linux - 23.04.2014 (4)
  2. Saving sidekick zurückverfolgen
    Log-Analyse und Auswertung - 14.06.2013 (3)
  3. Savings Sidekick und Babylon object installer gefunden, Rechner verlangsamt, bluescreens
    Log-Analyse und Auswertung - 05.04.2013 (16)
  4. Trojaner Savings Sidekick und Incredibar auf meinem Laptop
    Log-Analyse und Auswertung - 01.04.2013 (16)
  5. Savings Sidekick auf PC unter Software gefunden, läßt sich nicht restlos entfernen
    Log-Analyse und Auswertung - 12.02.2013 (21)
  6. Seit dem Virus Saving Sidekick und Trojan Agent erkennt mein Cd/DVD Laufwerk keine Dvd s mehr./Leistungsindex lässt sich nicht bestimmen.
    Plagegeister aller Art und deren Bekämpfung - 28.01.2013 (56)
  7. Saving Sidekicks gefunden. Was tun?
    Plagegeister aller Art und deren Bekämpfung - 28.12.2012 (13)
  8. Search Browsing & Saving Sidekick gefunden
    Log-Analyse und Auswertung - 21.12.2012 (28)
  9. Virenalarm von Malwarebytes Trojan.Agent/und Saving Sidekick. Entfernung
    Plagegeister aller Art und deren Bekämpfung - 02.12.2012 (40)
  10. Saving Sidekick gefunden
    Plagegeister aller Art und deren Bekämpfung - 02.12.2012 (27)
  11. Trojaner "saving sidekicks" frisst und beschädigt meine Dateien
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (38)
  12. virus/decrypten abgewürgt, manuell gefixt, löschen von decrypteten dateien?
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (24)
  13. GVU-Virus (neue Variante?) erfolgeich teilw. manuell entfernt mit Analyse von ESET
    Plagegeister aller Art und deren Bekämpfung - 23.04.2012 (1)
  14. Trojaner manuell entfernen?
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (20)
  15. Trojaner manuell löschen ?
    Plagegeister aller Art und deren Bekämpfung - 27.03.2008 (2)
  16. Virus Brought to you by Surf Sidekick+Hiiiilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 13.03.2006 (9)
  17. Trojaner! Manuell entfernen?
    Plagegeister aller Art und deren Bekämpfung - 23.07.2003 (10)

Zum Thema Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden - Liebes Trojaner-Board Team, leider muss ich etwas ausholen: Ich habe das Laptop im August/September neu aufgesetzt, weil er sehr langsam war und ich mich plötzlich nicht mehr auf dem Server - Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden...
Archiv
Du betrachtest: Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.