Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.02.2013, 22:55   #1
Chris_tian
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Frage

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



Hallo Trojaner Board Team,

anfangen möchte ich mit einem Lob: Ich finde es klasse was ihr hier macht!

Nun zu meinem Problem bzw. zu meiner Frage. Eines meiner Familienmitglieder hat heute eine Mahnungs-E-Mail (Absender: paullower@web.de, vom 9.2.2013) gelesen. Es geht darin um eine Rechnung von Mährobotern. Trotz absurdem Grund, geleitet von Neugier wurde der .zip Anhang herunter geladen. Inerhalb des .zip Archiv war eine 20 kb große .exe Datei. Leider war der User sich nicht sicher, ob er die .exe Datei doppelt angeklickt hat oder nicht - jedenfalls war sie im Explorer auf einmal auch nicht mehr auffindbar.

Daraufhin wurde eine gesamte Systemüberprüfung mit Avira Free Antivirus durchgeführt. Dabei wurde der im Titel genannten Trojaner "TR/Rogue.KD.853855.1" gefunden und in die Quarantäne verschoben. Das Notebook funktioniert soweit normal, es gibt keine Abstürze oder sonstiges auffälliges Verhalten, soweit ich das beurteilen kann.

Eine kleine Zusatzinfo noch: Der Avira Echtzeitscanner müsste die ganze Zeit aktiv gewesen sein.

Meine Frage ist nun: Kann das System nun wieder als "sauber" angesehen werden, oder sollten noch weitere Aktionen zur Sicherheit folgen?

Hier die Log-Dateien:

Avira Antivirus:
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 12. Februar 2013  18:24

Es wird nach 4991194 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : ***
Computername   : ***-PC

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  16.11.2012 08:14:06
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 07:28:26
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 07:28:27
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  10.05.2012 06:29:53
AVREG.DLL      : 12.3.0.17     232200 Bytes  14.05.2012 21:26:14
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 07:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 07:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 23:09:52
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 06:22:16
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 21:21:39
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 19:08:57
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 13:25:58
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 17:16:15
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 17:16:15
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 17:16:15
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 17:16:15
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 17:16:16
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 17:16:19
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 17:16:20
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 17:16:22
VBASE016.VDF   : 7.11.60.178     2048 Bytes  11.02.2013 17:16:23
VBASE017.VDF   : 7.11.60.179     2048 Bytes  11.02.2013 17:16:23
VBASE018.VDF   : 7.11.60.180     2048 Bytes  11.02.2013 17:16:23
VBASE019.VDF   : 7.11.60.181     2048 Bytes  11.02.2013 17:16:23
VBASE020.VDF   : 7.11.60.182     2048 Bytes  11.02.2013 17:16:23
VBASE021.VDF   : 7.11.60.183     2048 Bytes  11.02.2013 17:16:23
VBASE022.VDF   : 7.11.60.184     2048 Bytes  11.02.2013 17:16:23
VBASE023.VDF   : 7.11.60.185     2048 Bytes  11.02.2013 17:16:23
VBASE024.VDF   : 7.11.60.186     2048 Bytes  11.02.2013 17:16:24
VBASE025.VDF   : 7.11.60.187     2048 Bytes  11.02.2013 17:16:24
VBASE026.VDF   : 7.11.60.188     2048 Bytes  11.02.2013 17:16:24
VBASE027.VDF   : 7.11.60.189     2048 Bytes  11.02.2013 17:16:24
VBASE028.VDF   : 7.11.60.190     2048 Bytes  11.02.2013 17:16:24
VBASE029.VDF   : 7.11.60.191     2048 Bytes  11.02.2013 17:16:24
VBASE030.VDF   : 7.11.60.192     2048 Bytes  11.02.2013 17:16:24
VBASE031.VDF   : 7.11.60.224   138240 Bytes  12.02.2013 17:16:26
Engineversion  : 8.2.10.250
AEVDF.DLL      : 8.1.2.10      102772 Bytes  12.07.2012 20:55:24
AESCRIPT.DLL   : 8.1.4.88      471417 Bytes  12.02.2013 17:16:48
AESCN.DLL      : 8.1.10.0      131445 Bytes  17.12.2012 08:45:08
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 07:13:53
AERDL.DLL      : 8.2.0.88      643444 Bytes  11.01.2013 22:59:33
AEPACK.DLL     : 8.3.1.2       819574 Bytes  26.12.2012 19:08:56
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  06.11.2012 11:30:40
AEHEUR.DLL     : 8.1.4.198    5751159 Bytes  12.02.2013 17:16:46
AEHELP.DLL     : 8.1.25.2      258423 Bytes  11.10.2012 16:57:54
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 22:04:22
AEEXP.DLL      : 8.3.0.24      188787 Bytes  12.02.2013 17:16:49
AEEMU.DLL      : 8.1.3.2       393587 Bytes  12.07.2012 20:55:18
AECORE.DLL     : 8.1.30.0      201079 Bytes  17.12.2012 08:44:57
AEBB.DLL       : 8.1.1.4        53619 Bytes  06.11.2012 11:30:18
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 07:28:26
AVPREF.DLL     : 12.3.0.32      50720 Bytes  16.11.2012 08:14:04
AVREP.DLL      : 12.3.0.15     179208 Bytes  10.05.2012 06:29:53
AVARKT.DLL     : 12.3.0.33     209696 Bytes  16.11.2012 08:14:01
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 07:28:26
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 07:28:27
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  09.09.2012 19:09:54
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 07:28:27
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  09.09.2012 19:08:15
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  16.11.2012 08:13:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, Q:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 12. Februar 2013  18:24

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'IgrsSvcs.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil32_11_5_502_146_ActiveX.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarUser_32.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '140' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'Energy Management.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'utility.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'YouCamTray.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PManage.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'cAudioFilterAgent.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '175' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'atibtmon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1364' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YNP1FERA\*** *** Details Mahnung 09.02.2013.zip
  [0] Archivtyp: ZIP
  --> Offene Rechnung vom 09.02.2013.zip
      [1] Archivtyp: ZIP
    --> Offene Rechnung vom 09.02.2013.com
        [FUND]      Ist das Trojanische Pferd TR/Rogue.KD.853855.1
Beginne mit der Suche in 'D:\' <LENOVO>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert

Beginne mit der Desinfektion:
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YNP1FERA\*** *** Details Mahnung 09.02.2013.zip
  [FUND]      Ist das Trojanische Pferd TR/Rogue.KD.853855.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '524e2ecd.qua' verschoben!


Ende des Suchlaufs: Dienstag, 12. Februar 2013  19:45
Benötigte Zeit:  1:11:33 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  19819 Verzeichnisse wurden überprüft
 264225 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 264224 Dateien ohne Befall
   1456 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 411975 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
OTL.txt:

Code:
ATTFilter
OTL logfile created on: 12.02.2013 21:42:56 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\***\Desktop\Malware Tools
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,75 Gb Total Physical Memory | 0,88 Gb Available Physical Memory | 50,29% Memory free
3,49 Gb Paging File | 2,00 Gb Available in Paging File | 57,35% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 254,14 Gb Total Space | 196,76 Gb Free Space | 77,42% Space Free | Partition Type: NTFS
Drive D: | 29,00 Gb Total Space | 28,15 Gb Free Space | 97,08% Space Free | Partition Type: NTFS
 
Computer Name: ***-PC | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.12 20:21:33 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\Malware Tools\Defogger.exe
PRC - [2013.02.12 19:53:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\Malware Tools\OTL.exe
PRC - [2013.01.16 09:03:00 | 000,308,368 | ---- | M] (Google Inc.) -- C:\Programme\Google\Google Toolbar\GoogleToolbarUser_32.exe
PRC - [2013.01.13 16:13:11 | 000,699,400 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\Macromed\Flash\FlashUtil32_11_5_502_146_ActiveX.exe
PRC - [2012.11.30 04:07:41 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2012.11.16 17:33:24 | 000,757,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Internet Explorer\iexplore.exe
PRC - [2012.09.09 20:09:50 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.08 08:28:27 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.08 08:28:26 | 000,391,632 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avcenter.exe
PRC - [2012.05.08 08:28:26 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.08 08:28:26 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.01.04 14:22:40 | 000,822,624 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE
PRC - [2011.10.13 17:21:52 | 000,249,648 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\BingBar\SeaPort.EXE
PRC - [2011.10.01 08:30:42 | 000,219,496 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Application Virtualization Client\sftvsa.exe
PRC - [2011.10.01 08:30:36 | 000,508,776 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Application Virtualization Client\sftlist.exe
PRC - [2011.02.26 06:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.07.26 13:58:56 | 003,122,528 | ---- | M] (Lenovo) -- C:\Programme\Lenovo\VeriFace\PManage.exe
PRC - [2010.03.10 08:44:56 | 000,496,184 | ---- | M] (Conexant Systems, Inc.) -- C:\Programme\CONEXANT\cAudioFilterAgent\cAudioFilterAgent.exe
PRC - [2010.03.03 05:12:32 | 000,372,736 | ---- | M] (AMD) -- C:\Windows\System32\atieclxx.exe
PRC - [2010.03.03 05:11:58 | 000,172,032 | ---- | M] (AMD) -- C:\Windows\System32\atiesrxx.exe
PRC - [2009.12.22 13:40:58 | 000,167,008 | ---- | M] (CyberLink Corp.) -- C:\Programme\Lenovo\YouCam\YouCamTray.exe
PRC - [2009.12.17 07:33:56 | 004,114,368 | ---- | M] (Lenovo(beijing) Limited) -- C:\Programme\Lenovo\Energy Management\utility.exe
PRC - [2009.12.17 07:31:22 | 006,223,808 | ---- | M] (Lenovo (Beijing) Limited) -- C:\Programme\Lenovo\Energy Management\Energy Management.exe
PRC - [2009.07.14 02:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2009.07.14 02:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009.07.14 02:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\IgrsSvcs.exe
PRC - [2009.07.14 02:14:24 | 000,157,184 | ---- | M] (Microsoft Corporation) -- c:\Programme\Windows Defender\MpCmdRun.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.02.12 20:21:33 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\Malware Tools\Defogger.exe
MOD - [2013.01.26 03:35:06 | 000,460,240 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\ppGoogleNaClPluginChrome.dll
MOD - [2013.01.26 03:35:04 | 004,012,496 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\pdf.dll
MOD - [2013.01.26 03:34:19 | 000,597,968 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\libglesv2.dll
MOD - [2013.01.26 03:34:18 | 000,124,368 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\libegl.dll
MOD - [2013.01.26 03:34:16 | 001,552,848 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\ffmpegsumo.dll
MOD - [2010.07.26 13:58:54 | 001,410,400 | ---- | M] () -- C:\Windows\System32\IcnOvrly.dll
MOD - [2010.07.26 13:58:54 | 000,492,896 | ---- | M] () -- C:\Programme\Lenovo\VeriFace\ChooseLang.dll
MOD - [2010.07.26 13:58:53 | 000,513,376 | ---- | M] () -- C:\Windows\System32\SimpleExt.dll
MOD - [2009.06.05 17:36:48 | 000,217,088 | ---- | M] () -- C:\Windows\System32\370prop.ax
MOD - [2008.12.20 04:20:50 | 000,063,304 | ---- | M] () -- C:\Programme\Lenovo\Energy Management\KbdHook.dll
MOD - [2008.12.20 04:20:08 | 000,051,016 | ---- | M] () -- C:\Programme\Lenovo\Energy Management\HookLib.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2013.01.13 16:13:13 | 000,251,400 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.10.19 16:14:08 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.05.08 08:28:27 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.08 08:28:26 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.01.04 14:22:40 | 000,822,624 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE -- (cvhsvc)
SRV - [2011.10.21 15:23:42 | 000,196,176 | ---- | M] (Microsoft Corporation.) [Auto | Stopped] -- C:\Programme\Microsoft\BingBar\BBSvc.EXE -- (BBSvc)
SRV - [2011.10.13 17:21:52 | 000,249,648 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\BingBar\SeaPort.EXE -- (BBUpdate)
SRV - [2011.10.01 08:30:42 | 000,219,496 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)
SRV - [2011.10.01 08:30:36 | 000,508,776 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)
SRV - [2010.03.03 05:11:58 | 000,172,032 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 21:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.11.17 16:00:54 | 000,575,304 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Programme\Lenovo\ReadyComm\ConnSvc.exe -- (Lenovo ReadyComm ConnSvc)
SRV - [2009.08.14 15:22:48 | 000,509,192 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Programme\Lenovo\ReadyComm\AppSvc.exe -- (Lenovo ReadyComm AppSvc)
SRV - [2009.07.16 19:12:42 | 000,276,296 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Programme\Lenovo\ReadyComm\PS_MDP.dll -- (PS_MDP)
SRV - [2009.07.15 06:27:26 | 000,038,152 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Programme\Lenovo\ReadyComm\common\IGRS.exe -- (IGRS)
SRV - [2009.07.15 06:27:20 | 000,103,688 | ---- | M] (Lenovo Group Limited) [Auto | Running] -- C:\Programme\Lenovo\ReadyComm\common\router.dll -- (ReadyComm.DirectRouter)
SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009.07.14 02:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService)
DRV - [2012.05.08 08:28:27 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.08 08:28:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.01 08:30:42 | 000,019,304 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Sftvollh.sys -- (Sftvol)
DRV - [2011.10.01 08:30:40 | 000,021,864 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\Sftredirlh.sys -- (Sftredir)
DRV - [2011.10.01 08:30:38 | 000,194,408 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Sftplaylh.sys -- (Sftplay)
DRV - [2011.10.01 08:30:36 | 000,579,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Sftfslh.sys -- (Sftfs)
DRV - [2011.09.16 16:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.05.13 03:21:06 | 000,136,808 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdm.sys -- (ssadmdm)
DRV - [2011.05.13 03:21:06 | 000,121,064 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadbus.sys -- (ssadbus)
DRV - [2011.05.13 03:21:06 | 000,114,280 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadserd.sys -- (ssadserd)
DRV - [2011.05.13 03:21:06 | 000,012,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdfl.sys -- (ssadmdfl)
DRV - [2011.05.13 03:21:04 | 000,030,312 | ---- | M] (Google Inc) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadadb.sys -- (androidusb)
DRV - [2010.03.24 10:57:16 | 000,191,008 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\RtsUStor.sys -- (RSUSBSTOR)
DRV - [2010.03.03 05:22:26 | 005,340,160 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atipmdag.sys -- (amdkmdag)
DRV - [2010.03.03 04:07:16 | 000,152,064 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmpag.sys -- (amdkmdap)
DRV - [2010.01.18 10:45:00 | 000,514,104 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CHDRT32.sys -- (CnxtHdAudService)
DRV - [2009.12.22 03:26:36 | 000,030,392 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\usbfilter.sys -- (usbfilter)
DRV - [2009.11.13 10:47:50 | 000,058,368 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\L1C62x86.sys -- (L1C)
DRV - [2009.10.16 19:37:30 | 000,171,776 | ---- | M] (SMI) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\SMIksdrv.sys -- (usbsmi)
DRV - [2009.10.08 16:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.09.03 11:16:14 | 000,021,256 | ---- | M] (Lenovo Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AcpiVpc.sys -- (ACPIVPC)
DRV - [2009.08.23 23:55:32 | 000,014,392 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\AtiPcie.sys -- (AtiPcie)
DRV - [2009.07.28 22:09:36 | 000,063,240 | ---- | M] (Lenovo) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\wdbridge.sys -- (Bridge0)
DRV - [2009.07.21 22:14:58 | 000,081,704 | ---- | M] (CyberLink) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\wsvd.sys -- (wsvd)
DRV - [2009.07.16 13:37:14 | 000,011,792 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\WDMirror.sys -- (wdmirror)
DRV - [2009.07.14 00:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2009.07.13 23:02:51 | 004,231,168 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\netw5v32.sys -- (netw5v32)
DRV - [2009.07.13 23:02:49 | 000,229,888 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\k57nd60x.sys -- (k57nd60x)
DRV - [2008.08.06 13:34:16 | 000,128,104 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\WimFltr.sys -- (WimFltr)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.chatzum.com/
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://search.chatzum.com/?q={searchTerms}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = 04 00 2A 02 0D 00 00 00 E3 59 FE 02 01 00 00 80 06 00 2A 02 00 00 00 00  [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\..\SearchScopes,DefaultScope = {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.chatzum.com/?q={searchTerms}
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ADFA_deDE412
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = hxxp://search.chatzum.com/?q={SearchTerms}
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = hxxp://mystart.incredibar.com/mb188/?search={searchTerms}&loc=IB_DS&a=6R8FbJ2ArX&i=26
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\***\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\***\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox
 
[2012.09.15 00:05:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.de/
CHR - default_search_provider: ChatZum Web Search (Enabled)
CHR - default_search_provider: search_url = hxxp://search.chatzum.com/?q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.de/
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\pdf.dll
CHR - plugin: Google Gears 0.5.33.0 (Enabled) = C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\gears.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\gcswf32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
CHR - plugin: Windows Live\\u00AE Photo Gallery (Enabled) = C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\3.0.40624.0\npctrl.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: New Tab = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\dnpmlnedpdikbgdghljdepnljfpkhccn\1.0.1_0\
CHR - Extension: AT_LukasHudec = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifdgcflnbjihdfafceknjpidanddhnjb\3_0\
CHR - Extension: ChatZum.com -  Easy Pictures zoom = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbpcjmidkkgldeplajgnbpjkfpmpeepb\1.0.9_0\
CHR - Extension: New tab for Chrome\u2122 = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg\1.0.0_0\
CHR - Extension: DvdVideoSoft Free Youtube Download = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikpibnbobmbdbheedjfogjlikpgpnhp\1.0.0.0_0\
 
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [cAudioFilterAgent] C:\Programme\CONEXANT\cAudioFilterAgent\cAudioFilterAgent.exe (Conexant Systems, Inc.)
O4 - HKLM..\Run: [Energy Management] C:\Programme\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited)
O4 - HKLM..\Run: [EnergyUtility] C:\Programme\Lenovo\Energy Management\utility.exe (Lenovo(beijing) Limited)
O4 - HKLM..\Run: [UCam_Menu] C:\Program Files\Lenovo\YouCam\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdateP2GShortCut] C:\Program Files\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [VeriFaceManager] C:\Programme\Lenovo\VeriFace\PManage.exe (Lenovo)
O4 - HKLM..\Run: [YouCam Mirror Tray icon] C:\Program Files\Lenovo\YouCam\YouCamTray.exe (CyberLink Corp.)
O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\windows\System32\Macromed\Flash\FlashUtil32_11_5_502_146_ActiveX.exe (Adobe Systems Incorporated)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: Free YouTube Download - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E60E4F78-AD98-48FD-96E8-E0A1352F1B8A}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.12 21:41:00 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Malware Tools
[2013.02.12 19:43:17 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\Trojaner Fund 20130212
[2013.01.17 01:18:53 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Systweak
[2013.01.17 01:18:50 | 000,018,952 | ---- | C] (Systweak Inc., (www.systweak.com)) -- C:\windows\System32\roboot.exe
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.12 21:41:39 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable
[2013.02.12 21:01:11 | 000,001,096 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.12 20:50:00 | 000,000,884 | ---- | M] () -- C:\windows\tasks\Adobe Flash Player Updater.job
[2013.02.12 20:47:11 | 000,001,120 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3794133721-3255757827-3936631141-1000UA.job
[2013.02.12 20:01:00 | 000,001,092 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.12 19:15:00 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2013.02.12 18:18:53 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.12 18:18:53 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.12 18:09:11 | 1406,300,160 | -HS- | M] () -- C:\hiberfil.sys
[2013.02.04 01:32:14 | 000,001,068 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3794133721-3255757827-3936631141-1000Core.job
[2013.02.04 01:27:08 | 000,002,368 | ---- | M] () -- C:\Users\***\Desktop\Google Chrome.lnk
[2013.02.04 01:24:27 | 000,654,844 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2013.02.04 01:24:27 | 000,616,686 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2013.02.04 01:24:27 | 000,130,426 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2013.02.04 01:24:27 | 000,106,808 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2013.01.13 23:44:34 | 007,366,659 | ---- | M] () -- C:\Users\***\Documents\La Garriga Is Playing For Change Too ( Somewhere Over The Rainbow).mp3
 
========== Files Created - No Company Name ==========
 
[2013.02.12 21:41:39 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable
[2013.01.13 23:43:11 | 007,366,659 | ---- | C] () -- C:\Users\***\Documents\La Garriga Is Playing For Change Too ( Somewhere Over The Rainbow).mp3
[2011.07.28 23:13:58 | 000,000,017 | ---- | C] () -- C:\Users\***\AppData\Local\resmon.resmoncfg
[2010.12.30 16:57:23 | 000,000,732 | ---- | C] () -- C:\ProgramData\profile.xml
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2010.12.30 19:02:13 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\ArcSyncConfig
[2012.09.15 00:11:23 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Babylon
[2012.09.15 00:47:45 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\DVDVideoSoft
[2012.09.15 00:47:38 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers
[2012.09.15 00:14:41 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\eType
[2012.12.13 01:40:49 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\SoftGrid Client
[2013.01.26 12:28:30 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Systweak
[2012.01.24 00:07:17 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\TP
 
========== Purity Check ==========
 
 

< End of report >
         
Extras.txt:

Code:
ATTFilter
OTL Extras logfile created on: 12.02.2013 21:42:56 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\***\Desktop\Malware Tools
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,75 Gb Total Physical Memory | 0,88 Gb Available Physical Memory | 50,29% Memory free
3,49 Gb Paging File | 2,00 Gb Available in Paging File | 57,35% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 254,14 Gb Total Space | 196,76 Gb Free Space | 77,42% Space Free | Partition Type: NTFS
Drive D: | 29,00 Gb Total Space | 28,15 Gb Free Space | 97,08% Space Free | Partition Type: NTFS
 
Computer Name: ***-PC | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{175EECD0-B26F-40B3-92F6-CF86915CD0AB}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{20F4B0DD-0F81-4243-B62E-9B011CC16CFB}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{235A4D5A-715F-45A4-A05C-4FAAAE4D20FE}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{4030F5D0-C546-4B9D-8490-9BFF63E94FA4}" = lport=138 | protocol=17 | dir=in | app=system | 
"{4293CBB8-386F-405E-ADF4-FA78946665FD}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{5311682E-699D-40A3-B5B9-D775B0E802FC}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{54ED8F95-6C88-4279-846F-8C748105987B}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{64E557BD-8457-4CEB-B86A-38A130309EF9}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{6C5C25F5-788A-4CD5-807F-2497A4C0CDD9}" = lport=137 | protocol=17 | dir=in | app=system | 
"{6CDE09E0-46C2-49A3-8E19-C44C10DB2A09}" = rport=137 | protocol=17 | dir=out | app=system | 
"{8DD566BD-225B-4AF0-AC29-72838200CF09}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe | 
"{9CD45F03-FE1E-463B-9742-D1E1F9EE52A9}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{C1C753E3-80EC-464F-8745-15CC16B2EB1E}" = rport=445 | protocol=6 | dir=out | app=system | 
"{D311C2BF-3980-467C-B787-37E82EF66772}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{DD352D15-5EFD-43F8-8F60-F4D44A2C90FC}" = lport=139 | protocol=6 | dir=in | app=system | 
"{DF5BAEE0-8E87-4CD2-BB0C-C9DEEBA7E65B}" = rport=138 | protocol=17 | dir=out | app=system | 
"{E5DF085A-03AE-481D-B922-B5ECD39C783A}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{EE660A76-1E3A-4C8D-B6D4-EA8F70D58685}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{EF2B7370-A545-4F95-B5BE-AE5813BC88D0}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{EF7E27C2-8B18-41A3-BDFE-545110688DAE}" = lport=445 | protocol=6 | dir=in | app=system | 
"{F9F8115F-52D5-4C4D-864E-EA630BC302D5}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{FC27F88E-EEA3-4BC1-B951-13D16D576687}" = rport=139 | protocol=6 | dir=out | app=system | 
"{FE79CFFA-1174-4BB8-ABCD-347031A3B0D7}" = lport=2869 | protocol=6 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{03A4EBC5-C60E-4033-82F2-DA991D99E888}" = dir=out | app=c:\program files\lenovo\readycomm\projectionist.exe | 
"{074A78C4-6F6E-4587-8930-3ED37BE1EE47}" = dir=out | app=c:\program files\lenovo\readycomm\common\igrs.exe | 
"{0BC7CEBC-8216-40CA-A8FB-21949F632B3E}" = dir=in | app=c:\program files\windows live\sync\windowslivesync.exe | 
"{186D97F2-5D45-4902-A5FF-2495026E9234}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{1A5AB972-F9A1-4B0E-8937-B4475D1BF488}" = dir=in | app=c:\program files\lenovo\readycomm\connsvc.exe | 
"{1D9CD68A-2148-4D04-97D5-130B11B14081}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{1F5AC169-F6BC-4F07-BDB5-F6807B4B52A9}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{21640561-F9AF-4C42-8117-A304034B1448}" = protocol=6 | dir=out | app=system | 
"{26974C83-0630-4A7C-8B87-638C27F2F793}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{385B429E-A736-4AA8-A62C-CD587EBFE81B}" = dir=in | app=c:\program files\lenovo\readycomm\readycom.exe | 
"{38E08361-5A8E-4A3A-91A5-775328550E25}" = dir=in | app=c:\program files\common files\mcafee\mna\mcnasvc.exe | 
"{3B504BF8-155E-4DE8-9326-F66FCBD42F58}" = dir=in | app=c:\program files\windows live\messenger\wlcsdk.exe | 
"{3BCB44DB-0588-4FC3-BB25-8C57C476AD1C}" = protocol=6 | dir=in | app=c:\program files\common files\mcafee\mcsvchost\mcsvhost.exe | 
"{43B5E7B3-AD92-4804-B5C7-FFEA50E9E552}" = dir=out | app=c:\program files\lenovo\readycomm\readycomm.exe | 
"{4463FACA-4824-4C15-B21C-47CA18226B2C}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{4D4CCB3E-2AAA-44DD-B58B-894FB16795AC}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{5029B0BF-32BF-42BC-8682-53724A32B0D7}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{5A98DF0D-68CC-49BC-B863-D9C0C28A7EFB}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{7331D09B-270E-4C16-A8AF-4C1379E526A1}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe | 
"{83C6BFFA-7300-4A33-AB3E-F3D5BF377716}" = dir=out | app=c:\program files\lenovo\readycomm\common\igrs.exe | 
"{85668914-CC48-4E82-97A8-F99E306E44A8}" = dir=in | app=c:\windows\system32\igrssvcs.exe | 
"{8581ADE3-C2E5-4D95-AA50-1F862781DA9A}" = dir=in | app=c:\program files\lenovo\readycomm\common\igrs.exe | 
"{8F671965-7C4A-4A6B-8A3E-84BF8205B624}" = dir=out | app=c:\windows\system32\igrssvcs.exe | 
"{90C33DF9-EE03-4C2D-BCE2-A05228A4A46F}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{A4E1E954-5FD2-4913-B915-7CDA414F0ACF}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{A596199C-93CE-4B87-8586-51D01427E75B}" = protocol=17 | dir=in | app=c:\program files\common files\mcafee\mcsvchost\mcsvhost.exe | 
"{AFF0792C-F60A-480B-9C92-937D938BCBB4}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{B410F770-B054-4561-B8F0-DC4BC5420028}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{B7DC7E91-8388-4D55-BC2F-4764253CEB33}" = dir=in | app=c:\program files\lenovo\readycomm\appsvc.exe | 
"{C2F768FA-87B3-412F-BE0B-85CFEBA6B0A1}" = dir=out | app=c:\program files\lenovo\readycomm\connsvc.exe | 
"{CD3BAAB6-041A-4B9C-9C1F-C7FADC22C7A5}" = dir=in | app=c:\program files\lenovo\readycomm\common\igrs.exe | 
"{E3609A76-0DF4-4FF1-9609-562DAFD51DCD}" = dir=out | app=c:\program files\lenovo\readycomm\appsvc.exe | 
"{E41C6AEE-5D9A-4E1B-B5C6-478E1EE0494D}" = dir=in | app=c:\program files\lenovo\readycomm\projectionist.exe | 
"{EBF2FD7F-16A8-4A4F-86D1-5D51506237AF}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{F2B28BD7-DEEE-4EEB-9145-526B2A98FEB3}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{F518B621-15DF-44CC-9A29-94B0A8586F70}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{F7D710A8-24DE-4306-8BA3-6C73621C94CE}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{17542DBF-E17C-4562-BC4D-FA3EF3076C45}" = Lenovo ReadyComm 5
"{1755A94E-CA3D-056D-6EBF-F56CBAAA690C}" = CCC Help Portuguese
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{23E45635-6E09-B210-BA84-F0A8A4330539}" = Catalyst Control Center Localization All
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
"{3A41C53D-EE2B-9347-D41D-A59AEB302C53}" = CCC Help Chinese Standard
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3E692081-0878-8C80-6AA6-F4B8E5EB9BE3}" = CCC Help Finnish
"{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4229CF5A-95F2-023E-690F-BB5572544BA4}" = CCC Help Hungarian
"{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"{4F1E50D8-D105-7A9E-ACF6-A713447975C7}" = CCC Help Thai
"{520F7B12-0792-AD52-29DD-7B9E93FB1A2B}" = CCC Help Chinese Traditional
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{59DF04B0-A502-0031-C829-0A99D7D25502}" = Catalyst Control Center InstallProxy
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{62AFBC6C-70D4-7E8C-3BC4-FDB060A98DFC}" = CCC Help Dutch
"{69291733-6411-C3F7-7B9C-77D75A7AF58B}" = CCC Help Norwegian
"{6FCBA778-04AA-23B0-1279-42B85CA24C43}" = CCC Help Swedish
"{7064B255-EC91-7EC1-6640-A84C123508E9}" = Catalyst Control Center Graphics Light
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{76C66170-C538-4E77-B54D-48E136B5B533}" = Lenovo ReadyComm 5.0 Service
"{76D68A9E-5939-41F2-D22E-6C0045590A00}" = CCC Help Czech
"{86B2FD80-64BB-E002-ECF3-1C1E6105320C}" = CCC Help Turkish
"{8871F50A-D92D-07BE-6BB8-EB6D6B03ACBB}" = ccc-utility
"{8991E763-21F5-4DEA-A938-5D9D77DCB488}" = Broadcom 802.11 Wireless Driver
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{90140000-006D-0407-0000-0000000FF1CE}" = Microsoft Office Klick-und-Los 2010
"{90140011-0066-0407-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Deutsch
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"{962C911E-70BB-3530-1349-A31BEDD5515C}" = CCC Help Italian
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = Realtek USB 2.0 Card Reader
"{987B04C4-B5AC-4AD6-A7E9-8D681085B850}" = AMD USB Filter Driver
"{9A7124E8-7C79-F2CC-0B4C-44859C384DD4}" = CCC Help Greek
"{9BA1808F-4C75-BDFB-E798-755B4F3F22A2}" = CCC Help Japanese
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D5740C5-02C8-3C0E-C4BB-A8C2A82C6A52}" = CCC Help Danish
"{A5090413-2251-C33A-6359-CEE203950A5F}" = CCC Help Polish
"{A919F9D2-0F0E-C3B3-7ACF-343B46CFF804}" = CCC Help Spanish
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{ABD43020-578D-26E4-2D96-04E0A7E44526}" = CCC Help German
"{AC76BA86-7AD7-1031-7B44-A90100000001}" = Adobe Reader 9.0.1 - Deutsch
"{AE1E24C2-E720-42D5-B8E1-48F71A97B4DB}" = Energy Management
"{B2164CCB-C002-4B80-8550-7535D80DF237}" = Lenovo DirectShare
"{B4089055-D468-45A4-A6BA-5A138DD715FC}" = Bing Bar
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{D31C5DD0-00AD-3643-CFD2-BE37C8840528}" = CCC Help French
"{DAD1693D-3C1B-5D29-E44F-96D2362738F3}" = ATI Catalyst Install Manager
"{DB01AC75-7AA5-2F83-D72B-3A914321A030}" = ccc-core-static
"{DCBD3FBC-56C8-24E0-C82E-1ECB0AEB172E}" = CCC Help Korean
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E30378BA-E43E-E4F8-0D35-53C9C0B2A96A}" = Catalyst Control Center Graphics Full Existing
"{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}" = BabylonObjectInstaller
"{E606D21C-225C-D58E-3497-671288A31AF0}" = CCC Help Russian
"{E9388FCD-B25B-D45B-EFDB-954DE076A417}" = CCC Help English
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"{ECB1C736-4151-6B4D-7CF0-A54B65430461}" = Catalyst Control Center Core Implementation
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F542E678-739D-FFCC-A8D1-E42AE775BFFE}" = Catalyst Control Center Graphics Previews Common
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FE7AD27A-62B1-44F6-B69C-25D1ECA94F5D}" = Lenovo EasyCamera
"{FFBEBE24-6961-C161-22CD-EFD23F50DF65}" = Catalyst Control Center Graphics Full New
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"CNXT_AUDIO_HDA" = Conexant HD Audio
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free YouTube Download_is1" = Free YouTube Download version 3.1.35.903
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.11.30.903
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"InstallShield_{B2164CCB-C002-4B80-8550-7535D80DF237}" = Lenovo DirectShare
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Office14.Click2Run" = Microsoft Office Klick-und-Los 2010
"PSRUTI" = PSRUTI (remove only)
"Uninstall_is1" = Uninstall 1.0.0.1
"VeriFace" = VeriFace
"WinLiveSuite_Wave3" = Windows Live Essentials
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 10.11.2012 11:27:11 | Computer Name = ***-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\silicon
 motion\lenovo easycamera\driverpackage\DPInst64.exe".  Die abhängige Assemblierung
 "Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 11.11.2012 08:24:19 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information.  (Patch task for {90140011-0066-0407-0000-0000000FF1CE}):
 DownloadLatest Failed: Zurzeit sind keine aktiven Netzwerkverbindungen verfügbar.
 Der Vorgang wird von BITS wiederholt, sobald der Adapter über eine Verbindung verfügt.

 
Error - 20.11.2012 04:21:03 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information.  Error: Der Server lieferte eine ungültige oder
 unbekannte Rückmeldung.   ErrorCode: 14007(0x36b7). 
 
Error - 20.11.2012 17:13:04 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information.  Error: Die Serververbindung wurde aufgrund eines
 Fehlers beendet.   ErrorCode: 14007(0x36b7). 
 
Error - 07.12.2012 16:49:03 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe_LanmanServer, Version:
 6.1.7600.16385, Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version:
 0.0.0.0, Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0xc0000010
ID
 des fehlerhaften Prozesses: 0x3b0  Startzeit der fehlerhaften Anwendung: 0x01cdd4bc3b76b692
Pfad
 der fehlerhaften Anwendung: C:\windows\system32\svchost.exe  Pfad des fehlerhaften
 Moduls: unknown  Berichtskennung: 886c6e2d-40af-11e2-9e29-88ae1dc800cc
 
Error - 08.12.2012 15:26:44 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe_LanmanServer, Version:
 6.1.7600.16385, Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version:
 0.0.0.0, Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x00000000
ID
 des fehlerhaften Prozesses: 0x390  Startzeit der fehlerhaften Anwendung: 0x01cdd579e64162a8
Pfad
 der fehlerhaften Anwendung: C:\windows\system32\svchost.exe  Pfad des fehlerhaften
 Moduls: unknown  Berichtskennung: 3305f5a9-416d-11e2-863e-88ae1dc800cc
 
Error - 26.12.2012 15:37:49 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe_LanmanServer, Version:
 6.1.7600.16385, Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: msvcrt.dll,
 Version: 7.0.7600.16930, Zeitstempel: 0x4eeaf834  Ausnahmecode: 0xc0000005  Fehleroffset:
 0x00009c56  ID des fehlerhaften Prozesses: 0x3cc  Startzeit der fehlerhaften Anwendung:
 0x01cde3a06ecb49c5  Pfad der fehlerhaften Anwendung: C:\windows\system32\svchost.exe
Pfad
 des fehlerhaften Moduls: C:\windows\system32\msvcrt.dll  Berichtskennung: baefba79-4f93-11e2-b20a-88ae1dc800cc
 
Error - 05.01.2013 15:39:19 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information.  (Patch task for {90140011-0066-0407-0000-0000000FF1CE}):
 DownloadLatest Failed: Zurzeit sind keine aktiven Netzwerkverbindungen verfügbar.
 Der Vorgang wird von BITS wiederholt, sobald der Adapter über eine Verbindung verfügt.

 
Error - 05.01.2013 17:38:33 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information.  (Patch task for {90140011-0066-0407-0000-0000000FF1CE}):
 DownloadLatest Failed: Zurzeit sind keine aktiven Netzwerkverbindungen verfügbar.
 Der Vorgang wird von BITS wiederholt, sobald der Adapter über eine Verbindung verfügt.

 
Error - 05.01.2013 18:04:22 | Computer Name = ***-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\silicon
 motion\lenovo easycamera\driverpackage\DPInst64.exe".  Die abhängige Assemblierung
 "Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
[ System Events ]
Error - 26.12.2012 15:38:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Designs" wurde unerwartet beendet. Dies ist bereits 1 
Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt:
 Neustart des Diensts.
 
Error - 26.12.2012 15:38:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows-Verwaltungsinstrumentation" wurde unerwartet beendet.
 Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000
 Millisekunden durchgeführt: Neustart des Diensts.
 
Error - 26.12.2012 15:39:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
 des Dienstes "Shellhardwareerkennung" Korrekturmaßnahmen (Neustart des Diensts)
 durchzuführen, ist fehlgeschlagen. Fehler:   %%1056
 
Error - 26.12.2012 15:39:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
 des Dienstes "Server" Korrekturmaßnahmen (Neustart des Diensts) durchzuführen, 
ist fehlgeschlagen. Fehler:   %%1056
 
Error - 26.12.2012 15:40:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
 des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Neustart 
des Diensts) durchzuführen, ist fehlgeschlagen. Fehler:   %%1056
 
Error - 26.12.2012 15:40:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
 des Dienstes "Multimediaklassenplaner" Korrekturmaßnahmen (Neustart des Diensts)
 durchzuführen, ist fehlgeschlagen. Fehler:   %%1056
 
Error - 26.12.2012 15:40:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
 des Dienstes "Benutzerprofildienst" Korrekturmaßnahmen (Neustart des Diensts) durchzuführen,
 ist fehlgeschlagen. Fehler:   %%1056
 
Error - 03.02.2013 20:21:35 | Computer Name = ***-PC | Source = ACPI | ID = 327693
Description = : Der eingebettete Controller (EC) hat nicht innerhalb des angegebenen
 Zeitlimits reagiert. Dies deutet auf einen Fehler in der EC-Hardware oder -Firmware
 hin bzw. darauf, dass das BIOS auf falsche Art auf den EC zugreift. Fragen Sie 
den Computerhersteller nach einem aktualisierten BIOS. Dieser Fehler kann in einigen
 Situationen zur Folge haben, dass der Computer fehlerhaft läuft.
 
Error - 03.02.2013 20:21:49 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "Google Update Service (gupdate)" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 03.02.2013 20:22:19 | Computer Name = ***-PC | Source = DCOM | ID = 10010
Description = 
 
 
< End of report >
         

Gmer.txt:

Code:
ATTFilter
GMER 2.0.18454 - hxxp://www.gmer.net
Rootkit scan 2013-02-12 22:29:11
Windows 6.1.7600  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9320325AS rev.0010LVM1 298,09GB
Running: gmer_2.0.18454.exe; Driver: C:\Users\***\AppData\Local\Temp\kgloqpod.sys


---- System - GMER 2.0 ----

SSDT   9525337E                                                                                                         ZwCreateSection
SSDT   95253388                                                                                                         ZwRequestWaitReplyPort
SSDT   95253383                                                                                                         ZwSetContextThread
SSDT   9525338D                                                                                                         ZwSetSecurityObject
SSDT   95253392                                                                                                         ZwSystemDebugControl
SSDT   9525331F                                                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 2.0 ----

.text  ntkrnlpa.exe!ZwRollbackTransaction + 13E9                                                                        82E8E839 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                           82EB33F2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text  ntkrnlpa.exe!RtlSidHashLookup + 340                                                                              82EBACD0 4 Bytes  [7E, 33, 25, 95]
.text  ntkrnlpa.exe!RtlSidHashLookup + 69C                                                                              82EBB02C 4 Bytes  [88, 33, 25, 95]
.text  ntkrnlpa.exe!RtlSidHashLookup + 6E0                                                                              82EBB070 4 Bytes  [83, 33, 25, 95] {XOR DWORD [EBX], 0x25; XCHG EBP, EAX}
.text  ntkrnlpa.exe!RtlSidHashLookup + 75C                                                                              82EBB0EC 4 Bytes  [8D, 33, 25, 95]
.text  ntkrnlpa.exe!RtlSidHashLookup + 7B0                                                                              82EBB140 4 Bytes  [92, 33, 25, 95]
.text  ...                                                                                                              
.text  C:\windows\system32\DRIVERS\atipmdag.sys                                                                         section is writeable [0x8E428000, 0x2ECEB2, 0xE8000020]

---- User code sections - GMER 2.0 ----

.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] kernel32.dll!CreateThread                                  772B27DD 5 Bytes  JMP 6D5275DB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateDialogParamW                              76A79BFF 5 Bytes  JMP 6D6B9320 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!EnableWindow                                    76A7A72E 5 Bytes  JMP 6D569EB4 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!GetAsyncKeyState                                76A7C09A 5 Bytes  JMP 6D50DED5 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!UnhookWindowsHookEx                             76A7CC7B 5 Bytes  JMP 6D5AED00 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CallNextHookEx                                  76A7CC8F 5 Bytes  JMP 6D587FDF C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DefWindowProcA                                  76A7E0E4 7 Bytes  JMP 6D529805 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateWindowExA                                 76A7E18A 5 Bytes  JMP 6D53363B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateWindowExW                                 76A80E51 5 Bytes  JMP 6D5903CF C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!SetWindowsHookExW                               76A8210A 5 Bytes  JMP 6D5625AC C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!GetKeyState                                     76A84FDA 5 Bytes  JMP 6D50DDAB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!IsDialogMessageW                                76A86F06 5 Bytes  JMP 6D6B9A7A C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DefWindowProcW                                  76A8724B 7 Bytes  JMP 6D588042 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateDialogParamA                              76A93E79 5 Bytes  JMP 6D6B92E8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!IsDialogMessage                                 76A9407A 5 Bytes  JMP 6D6B9A52 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateDialogIndirectParamA                      76A99110 5 Bytes  JMP 6D6B9358 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateDialogIndirectParamW                      76AA08AD 5 Bytes  JMP 6D6B9390 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DialogBoxIndirectParamW                         76AA4AA7 5 Bytes  JMP 6D6B8FB6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!EndDialog                                       76AA555C 5 Bytes  JMP 6D6B9D26 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DialogBoxParamW                                 76AA564A 5 Bytes  JMP 6D4C1893 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!SetKeyboardState                                76AA6B52 5 Bytes  JMP 6D6BA341 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!SendInput                                       76AA7055 5 Bytes  JMP 6D6BA2E9 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!SetCursorPos                                    76ABC1D8 5 Bytes  JMP 6D6BA3C2 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DialogBoxParamA                                 76ABCF6A 5 Bytes  JMP 6D6B8F51 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DialogBoxIndirectParamA                         76ABD29C 5 Bytes  JMP 6D6B901B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!MessageBoxIndirectA                             76ACE8C9 5 Bytes  JMP 6D6B8ED8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!MessageBoxIndirectW                             76ACE9C3 5 Bytes  JMP 6D6B8E5F C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!MessageBoxExA                                   76ACEA29 5 Bytes  JMP 6D6B8DFB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!MessageBoxExW                                   76ACEA4D 5 Bytes  JMP 6D6B8D97 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!keybd_event                                     76ACEC9B 5 Bytes  JMP 6D6BA2A6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] SHELL32.dll!SHChangeNotification_Lock + 45BA               75B7B440 4 Bytes  [CF, 01, 0A, 67]
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] SHELL32.dll!SHChangeNotification_Lock + 45C2               75B7B448 8 Bytes  [E0, 61, 09, 67, 79, F7, 09, ...]
.text  C:\Program Files\Internet Explorer\iexplore.exe[1064] ole32.dll!OleLoadFromStream                                77345BF6 5 Bytes  JMP 6D6B9784 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] kernel32.dll!CreateThread                                  772B27DD 5 Bytes  JMP 6D5275DB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateDialogParamW                              76A79BFF 5 Bytes  JMP 6D6B9320 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!EnableWindow                                    76A7A72E 5 Bytes  JMP 6D569EB4 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!GetAsyncKeyState                                76A7C09A 5 Bytes  JMP 6D50DED5 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!UnhookWindowsHookEx                             76A7CC7B 5 Bytes  JMP 6D5AED00 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CallNextHookEx                                  76A7CC8F 5 Bytes  JMP 6D587FDF C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DefWindowProcA                                  76A7E0E4 7 Bytes  JMP 6D529805 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateWindowExA                                 76A7E18A 5 Bytes  JMP 6D53363B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateWindowExW                                 76A80E51 5 Bytes  JMP 6D5903CF C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!SetWindowsHookExW                               76A8210A 5 Bytes  JMP 6D5625AC C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!GetKeyState                                     76A84FDA 5 Bytes  JMP 6D50DDAB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!IsDialogMessageW                                76A86F06 5 Bytes  JMP 6D6B9A7A C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DefWindowProcW                                  76A8724B 7 Bytes  JMP 6D588042 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateDialogParamA                              76A93E79 5 Bytes  JMP 6D6B92E8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!IsDialogMessage                                 76A9407A 5 Bytes  JMP 6D6B9A52 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateDialogIndirectParamA                      76A99110 5 Bytes  JMP 6D6B9358 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateDialogIndirectParamW                      76AA08AD 5 Bytes  JMP 6D6B9390 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DialogBoxIndirectParamW                         76AA4AA7 5 Bytes  JMP 6D6B8FB6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!EndDialog                                       76AA555C 5 Bytes  JMP 6D6B9D26 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DialogBoxParamW                                 76AA564A 5 Bytes  JMP 6D4C1893 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!SetKeyboardState                                76AA6B52 5 Bytes  JMP 6D6BA341 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!SendInput                                       76AA7055 5 Bytes  JMP 6D6BA2E9 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!SetCursorPos                                    76ABC1D8 5 Bytes  JMP 6D6BA3C2 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DialogBoxParamA                                 76ABCF6A 5 Bytes  JMP 6D6B8F51 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DialogBoxIndirectParamA                         76ABD29C 5 Bytes  JMP 6D6B901B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!MessageBoxIndirectA                             76ACE8C9 5 Bytes  JMP 6D6B8ED8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!MessageBoxIndirectW                             76ACE9C3 5 Bytes  JMP 6D6B8E5F C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!MessageBoxExA                                   76ACEA29 5 Bytes  JMP 6D6B8DFB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!MessageBoxExW                                   76ACEA4D 5 Bytes  JMP 6D6B8D97 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!keybd_event                                     76ACEC9B 5 Bytes  JMP 6D6BA2A6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] SHELL32.dll!SHChangeNotification_Lock + 45BA               75B7B440 4 Bytes  [CF, 01, 0A, 67]
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] SHELL32.dll!SHChangeNotification_Lock + 45C2               75B7B448 8 Bytes  [E0, 61, 09, 67, 79, F7, 09, ...]
.text  C:\Program Files\Internet Explorer\iexplore.exe[2448] ole32.dll!OleLoadFromStream                                77345BF6 5 Bytes  JMP 6D6B9784 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtCreateFile + 6               774E46B6 4 Bytes  [28, DC, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtCreateFile + B               774E46BB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtMapViewOfSection + 6         774E4D16 4 Bytes  [28, DF, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtMapViewOfSection + B         774E4D1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenFile + 6                 774E4DC6 4 Bytes  [68, DC, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenFile + B                 774E4DCB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcess + 6              774E4E76 4 Bytes  [A8, DD, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcess + B              774E4E7B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcessToken + B         774E4E8B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcessTokenEx + 6       774E4E96 4 Bytes  [A8, DE, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcessTokenEx + B       774E4E9B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThread + 6               774E4EF6 4 Bytes  [68, DD, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThread + B               774E4EFB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThreadToken + 6          774E4F06 4 Bytes  [68, DE, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThreadToken + B          774E4F0B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThreadTokenEx + B        774E4F1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtQueryAttributesFile + 6      774E5026 4 Bytes  [A8, DC, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtQueryAttributesFile + B      774E502B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtQueryFullAttributesFile + B  774E50DB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtSetInformationFile + 6       774E5726 4 Bytes  [28, DD, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtSetInformationFile + B       774E572B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtSetInformationThread + 6     774E5786 4 Bytes  [28, DE, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtSetInformationThread + B     774E578B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtUnmapViewOfSection + 6       774E5AA6 4 Bytes  [68, DF, 5D, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtUnmapViewOfSection + B       774E5AAB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtCreateFile + 6               774E46B6 4 Bytes  [28, 78, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtCreateFile + B               774E46BB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtMapViewOfSection + 6         774E4D16 4 Bytes  [28, 7B, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtMapViewOfSection + B         774E4D1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenFile + 6                 774E4DC6 4 Bytes  [68, 78, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenFile + B                 774E4DCB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcess + 6              774E4E76 4 Bytes  [A8, 79, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcess + B              774E4E7B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcessToken + B         774E4E8B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcessTokenEx + 6       774E4E96 4 Bytes  [A8, 7A, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcessTokenEx + B       774E4E9B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThread + 6               774E4EF6 4 Bytes  [68, 79, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThread + B               774E4EFB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThreadToken + 6          774E4F06 4 Bytes  [68, 7A, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThreadToken + B          774E4F0B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThreadTokenEx + B        774E4F1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtQueryAttributesFile + 6      774E5026 4 Bytes  [A8, 78, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtQueryAttributesFile + B      774E502B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtQueryFullAttributesFile + B  774E50DB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtSetInformationFile + 6       774E5726 4 Bytes  [28, 79, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtSetInformationFile + B       774E572B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtSetInformationThread + 6     774E5786 4 Bytes  [28, 7A, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtSetInformationThread + B     774E578B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtUnmapViewOfSection + 6       774E5AA6 4 Bytes  [68, 7B, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtUnmapViewOfSection + B       774E5AAB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtCreateFile + 6               774E46B6 4 Bytes  [28, 14, D8, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtCreateFile + B               774E46BB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtMapViewOfSection + 6         774E4D16 4 Bytes  [28, 17, D8, 00] {SUB [EDI], DL; FADD DWORD [EAX]}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtMapViewOfSection + B         774E4D1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenFile + 6                 774E4DC6 4 Bytes  [68, 14, D8, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenFile + B                 774E4DCB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcess + 6              774E4E76 4 Bytes  [A8, 15, D8, 00] {TEST AL, 0x15; FADD DWORD [EAX]}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcess + B              774E4E7B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcessToken + B         774E4E8B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcessTokenEx + 6       774E4E96 4 Bytes  [A8, 16, D8, 00] {TEST AL, 0x16; FADD DWORD [EAX]}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcessTokenEx + B       774E4E9B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThread + 6               774E4EF6 4 Bytes  [68, 15, D8, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThread + B               774E4EFB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThreadToken + 6          774E4F06 4 Bytes  [68, 16, D8, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThreadToken + B          774E4F0B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThreadTokenEx + B        774E4F1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtQueryAttributesFile + 6      774E5026 4 Bytes  [A8, 14, D8, 00] {TEST AL, 0x14; FADD DWORD [EAX]}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtQueryAttributesFile + B      774E502B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtQueryFullAttributesFile + B  774E50DB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtSetInformationFile + 6       774E5726 4 Bytes  [28, 15, D8, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtSetInformationFile + B       774E572B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtSetInformationThread + 6     774E5786 4 Bytes  [28, 16, D8, 00] {SUB [ESI], DL; FADD DWORD [EAX]}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtSetInformationThread + B     774E578B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtUnmapViewOfSection + 6       774E5AA6 4 Bytes  [68, 17, D8, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtUnmapViewOfSection + B       774E5AAB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtCreateFile + 6               774E46B6 4 Bytes  [28, 34, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtCreateFile + B               774E46BB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtMapViewOfSection + 6         774E4D16 4 Bytes  [28, 37, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtMapViewOfSection + B         774E4D1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenFile + 6                 774E4DC6 4 Bytes  [68, 34, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenFile + B                 774E4DCB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcess + 6              774E4E76 4 Bytes  [A8, 35, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcess + B              774E4E7B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcessToken + B         774E4E8B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcessTokenEx + 6       774E4E96 4 Bytes  [A8, 36, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcessTokenEx + B       774E4E9B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThread + 6               774E4EF6 4 Bytes  [68, 35, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThread + B               774E4EFB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThreadToken + 6          774E4F06 4 Bytes  [68, 36, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThreadToken + B          774E4F0B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThreadTokenEx + B        774E4F1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtQueryAttributesFile + 6      774E5026 4 Bytes  [A8, 34, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtQueryAttributesFile + B      774E502B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtQueryFullAttributesFile + B  774E50DB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtSetInformationFile + 6       774E5726 4 Bytes  [28, 35, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtSetInformationFile + B       774E572B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtSetInformationThread + 6     774E5786 4 Bytes  [28, 36, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtSetInformationThread + B     774E578B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtUnmapViewOfSection + 6       774E5AA6 4 Bytes  [68, 37, 91, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtUnmapViewOfSection + B       774E5AAB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtCreateFile + 6               774E46B6 4 Bytes  [28, D4, 21, 00] {SUB AH, DL; AND [EAX], EAX}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtCreateFile + B               774E46BB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtMapViewOfSection + 6         774E4D16 4 Bytes  [28, D7, 21, 00] {SUB BH, DL; AND [EAX], EAX}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtMapViewOfSection + B         774E4D1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenFile + 6                 774E4DC6 4 Bytes  [68, D4, 21, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenFile + B                 774E4DCB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcess + 6              774E4E76 4 Bytes  [A8, D5, 21, 00] {TEST AL, 0xd5; AND [EAX], EAX}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcess + B              774E4E7B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcessToken + B         774E4E8B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcessTokenEx + 6       774E4E96 4 Bytes  [A8, D6, 21, 00] {TEST AL, 0xd6; AND [EAX], EAX}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcessTokenEx + B       774E4E9B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThread + 6               774E4EF6 4 Bytes  [68, D5, 21, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThread + B               774E4EFB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThreadToken + 6          774E4F06 4 Bytes  [68, D6, 21, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThreadToken + B          774E4F0B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThreadTokenEx + B        774E4F1B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtQueryAttributesFile + 6      774E5026 4 Bytes  [A8, D4, 21, 00] {TEST AL, 0xd4; AND [EAX], EAX}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtQueryAttributesFile + B      774E502B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtQueryFullAttributesFile + B  774E50DB 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtSetInformationFile + 6       774E5726 4 Bytes  [28, D5, 21, 00] {SUB CH, DL; AND [EAX], EAX}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtSetInformationFile + B       774E572B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtSetInformationThread + 6     774E5786 4 Bytes  [28, D6, 21, 00] {SUB DH, DL; AND [EAX], EAX}
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtSetInformationThread + B     774E578B 1 Byte  [E2]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtUnmapViewOfSection + 6       774E5AA6 4 Bytes  [68, D7, 21, 00]
.text  C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtUnmapViewOfSection + B       774E5AAB 1 Byte  [E2]
.text  C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!EnableWindow                                    76A7A72E 5 Bytes  JMP 6D569EB4 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!DialogBoxIndirectParamW                         76AA4AA7 5 Bytes  JMP 6D6B8FB6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!DialogBoxParamW                                 76AA564A 5 Bytes  JMP 6D4C1893 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!DialogBoxParamA                                 76ABCF6A 5 Bytes  JMP 6D6B8F51 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!DialogBoxIndirectParamA                         76ABD29C 5 Bytes  JMP 6D6B901B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!MessageBoxIndirectA                             76ACE8C9 5 Bytes  JMP 6D6B8ED8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!MessageBoxIndirectW                             76ACE9C3 5 Bytes  JMP 6D6B8E5F C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!MessageBoxExA                                   76ACEA29 5 Bytes  JMP 6D6B8DFB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!MessageBoxExW                                   76ACEA4D 5 Bytes  JMP 6D6B8D97 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)

---- Registry - GMER 2.0 ----

Reg    HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002269ec2d88                                      
Reg    HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002269ec2d88 (not active ControlSet)                  

---- EOF - GMER 2.0 ----
         
Zu guter Letzt: Malwarebytes hat nichts gefunden (Quick Scan), trotzdem hier noch das Log:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.12.08

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

12.02.2013 22:34:45
mbam-log-2013-02-12 (22-34-45).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 197451
Laufzeit: 5 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Ich hoffe ich habe keine nötigen Infos vergessen.

Da ich selber viel mit PC's im Allgemeinen zu tun habe, würde ich mich im Verlauf der Analyse riesig über kurze Hintergrundinformationen freuen, wie ihr auf den nächsten Schritt kommt, und welche Log-Inhalte dafür auschlagebend waren - natürlich nur sofern es keine Umstände macht.

Danke schonmal im Vorraus!

Grüße,
Chris

Alt 13.02.2013, 09:47   #2
markusg
/// Malware-holic
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



Hi
sieht gut aus.
gibts dateien, auf die der Nutzer nicht mehr zugreifen kann (dokumente) zb
__________________

__________________

Alt 13.02.2013, 20:27   #3
Chris_tian
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



Hi Markusg,

Danke für deine schnelle Antwort. Nein, soweit ich weis, hat der User keine Probleme Dokumente zu öffnen - ich hake aber nochmal nach.

Falls dem nicht so ist, wäre dann alles in Ordnung?

Grüße,
Chris
__________________

Alt 14.02.2013, 13:36   #4
markusg
/// Malware-holic
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



nein, aber wir hätten dann noch mehr arbeit.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 15.02.2013, 20:16   #5
Chris_tian
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



Hi Markusg,

also der Laptop funktioniert soweit normal...

Was meinen sie ( sollen wir uns duzen?), sind wir, bzw. der "power" user mit nem blauen Auge davon gekommen?

Konnte der Trojaner das System überhaupt das System infizieren? Soweit ich das einschätze, war ja "nur" der Trojaner selbst auf dem System und wurde von avira gefunden.

Gibt es irgend eine empfehlenswerte Vorgehensweise für e-Mails, die "verseucht" aussehen, wie sie irgendwo hin zu senden, zur Analyse oder so?

Grüße,
Chris


Alt 18.02.2013, 17:06   #6
markusg
/// Malware-holic
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



hi
du ist ok.
Verdächte Mails an die Adresse in meiner signatur.
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
wenn du denkst, fertig zu sein, gucke unter Computer, Eigenschaften, ob das Servicepack 1 (sp1) instaliert ist, melden bitte, bei Fehlern oder Erfolg
__________________
--> Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?

Alt 19.02.2013, 20:29   #7
Chris_tian
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



Hi Markusg,

hab ich alles gemacht, Service Pack 1 ist nun drauf und alle optionalen Updates bis auf "Bing Desktop Suche" sind nun auch installiert.

Nächste Instruktionen ?

Grüße,,
Chris

Alt 19.02.2013, 20:31   #8
markusg
/// Malware-holic
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



bing kannst du ausblenden.
lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.02.2013, 21:01   #9
Chris_tian
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



Hi Markusg,

wow, du bist aber schnell heut abend...

Hier die Liste:

Code:
ATTFilter
Adobe Flash Player 11 ActiveX	Adobe Systems Incorporated	12.02.2013	6,00MB	11.5.502.149 notwendig
Adobe Reader 9.0.1 - Deutsch	Adobe Systems Incorporated	26.07.2010	232MB	9.0.1 notwendig
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver	Atheros Communications Inc.	26.07.2010		1.0.0.17 notwendig
ATI Catalyst Install Manager	ATI Technologies, Inc.	26.07.2010	16,3MB	3.0.765.0 notwendig
Avira Free Antivirus	Avira	16.11.2012	109MB	12.1.9.1236 notwendig
BabylonObjectInstaller	Babylon Ltd	15.09.2012	2,10MB	2.0.0.4  unbekannt
Bing Bar	Microsoft Corporation	25.01.2012	26,8MB	7.0.850.0  unnötig
Broadcom 802.11 Wireless Driver		26.07.2010		1.0.0.0 notwendig
CCleaner	Piriform	23.01.2013		3.27 notwendig
Conexant HD Audio	Conexant	26.07.2010		4.111.0.62 notwendig
CyberLink YouCam	CyberLink Corp.	26.07.2010	134MB	3.0.2421a  notwendig
Energy Management	Lenovo	26.07.2010		5.3.0.8 notwendig
Free Audio CD Burner version 1.4.7	DVDVideoSoft Limited.	08.04.2011	10,6MB	unnötig
Free YouTube Download version 3.1.35.903	DVDVideoSoft Ltd.	15.09.2012	84,7MB	3.1.35.903 unnötig
Google Chrome	Google Inc.	30.12.2010		24.0.1312.57 notwendig
Google Toolbar for Internet Explorer	Google Inc.	16.01.2013		7.4.3607.2246 notwendig
Lenovo DirectShare	ArcSoft	26.07.2010	37,8MB	1.0.1.38  unbekannt
Lenovo EasyCamera	Silicon Motion	26.07.2010		5.8.0.12 notwendig
Lenovo OneKey Recovery	CyberLink Corp.	26.07.2010	328MB	7.0.1230 notwendig
Lenovo ReadyComm 5	Lenovo	26.07.2010		5.1.1.22   unbekannt
Malwarebytes Anti-Malware Version 1.70.0.1100	Malwarebytes Corporation	12.02.2013	18,4MB	1.70.0.1100  notwendig
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	25.01.2011	38,8MB	4.0.30319  notwendig
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	25.01.2011	2,93MB	4.0.30319 notwendig
Microsoft Office 2010	Microsoft Corporation	26.07.2010	6,31MB	14.0.4763.1000 notwendig
Microsoft Office Klick-und-Los 2010	Microsoft Corporation	24.01.2012		14.0.4763.1000 notwendig
Microsoft Office Starter 2010 - Deutsch	Microsoft Corporation	24.01.2012		14.0.4763.1000 notwendig
Microsoft Silverlight	Microsoft Corporation	18.05.2012	74,5MB	4.1.10329.0  notwendig
Microsoft SQL Server 2005 Compact Edition [ENU]	Microsoft Corporation	26.07.2010	1,72MB	3.1.0000 notwendig
Microsoft Sync Framework Runtime Native v1.0 (x86)	Microsoft Corporation	29.12.2010	625KB	1.0.1215.0 notwendig
Microsoft Sync Framework Services Native v1.0 (x86)	Microsoft Corporation	29.12.2010	1,44MB	1.0.1215.0 notwendig
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	25.01.2012	300KB	8.0.61001 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	26.07.2010	596KB	9.0.30729.4148 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	25.01.2012	600KB	9.0.30729.6161 notwendig
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219	Microsoft Corporation	08.03.2012	16,5MB	10.0.40219 notwendig
Mozilla Maintenance Service	Mozilla	19.02.2013	217KB	17.0.2  notwendig
Mozilla Thunderbird 17.0.2 (x86 de)	Mozilla	19.02.2013	41,9MB	17.0.2  notwendig
Power2Go	CyberLink Corp.	26.07.2010		5.6.0.4809d4   unbekannt
PSRUTI (remove only)		30.12.2010	 unnötig	
Realtek USB 2.0 Card Reader	Realtek Semiconductor Corp.	26.07.2010		6.1.7600.30117  notwendig
Skype™ 6.0	Skype Technologies S.A.	20.11.2012	20,3MB	6.0.120  notwendig
Uninstall 1.0.0.1		08.04.2011	10,9MB	 unnötig
VeriFace	Lenovo	26.07.2010		3.6.0.1209  notwendig
Windows Live Anmelde-Assistent	Microsoft Corporation	26.07.2010	1,93MB	5.000.818.5  unbekannt
Windows Live Essentials	Microsoft Corporation	26.07.2010		14.0.8089.0726  unbekannt
Windows Live Sync	Microsoft Corporation	26.07.2010	2,79MB	14.0.8089.726  unbekannt
Windows Live-Uploadtool	Microsoft Corporation	26.07.2010	224KB	14.0.8014.1029  unbekannt
         
Ich hoffe, ich habe keine Zeile vergessen zu deklarieren. Die installierten Programme habe ich heute auch schonmal angeschaut, die Programme Free Audio CD Burner version und Free YouTube Download konnte ich komischerweise über Windows-Boardmittel nicht richtig deinstallieren.

Grüße,
Chris

Alt 20.02.2013, 17:48   #10
markusg
/// Malware-holic
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
BabylonObjectInstaller
Bing
Free : beide
Google Toolbar : finger weg von Toolbars, zusätzliches risiko, verlangsamen den Browser.
PSRUTI
Windows Live : alle die, die du nicht nutzt
Wenns probleme mit der Deinstalation gibt, rewo testen:
Revo Uninstaller - Download - Filepony

Öffne CCleaner, analysieren, starten, PC neustarten.
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.02.2013, 19:14   #11
Chris_tian
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



Guten Abend Markus,

ich habe die Programme aktualisiert, bzw. deinstalliert, CCleaner laufen lassen und anschließend Adwcleaner.

Hier der Log:

AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v2.112 - Datei am 21/02/2013 um 17:20:58 erstellt
# Aktualisiert am 10/02/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzer : *** - ***-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\***\Downloads\adwcleaner0.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\user.js
Ordner Gelöscht : C:\Program Files\ChatZum Toolbar
Ordner Gelöscht : C:\Program Files\Perion
Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\dnpmlnedpdikbgdghljdepnljfpkhccn
Ordner Gelöscht : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg
Ordner Gelöscht : C:\Users\***\AppData\Roaming\Babylon
Ordner Gelöscht : C:\Users\***\AppData\Roaming\eType

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\ChatZum Toolbar
Schlüssel Gelöscht : HKCU\Software\DSNR Labs
Schlüssel Gelöscht : HKCU\Software\IM
Schlüssel Gelöscht : HKCU\Software\ImInstaller
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{96BD48DD-741B-41AE-AC4A-AFF96BA00F7E}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\Software\ChatZum Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\chatzum_nt_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\chatzum_nt_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Schlüssel Gelöscht : HKLM\Software\Web Assistant
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16464

Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.chatzum.com/ --> hxxp://www.google.com

-\\ Google Chrome v24.0.1312.57

Datei : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Preferences

Gelöscht [l.12] : urls_to_restore_on_startup = [ "hxxp://search.chatzum.com" ]
Gelöscht [l.39] : icon_url = "hxxp://cdn.chatzum.com/favicon.ico",
Gelöscht [l.41] : instant_url = "hxxp://search.chatzum.com/?q={searchTerms}",
Gelöscht [l.42] : keyword = "search.chatzum.com",
Gelöscht [l.45] : search_url = "hxxp://search.chatzum.com/?q={searchTerms}",
Gelöscht [l.1866] : urls_to_restore_on_startup = [ "hxxp://search.chatzum.com" ]

*************************

AdwCleaner[S1].txt - [3862 octets] - [21/02/2013 17:20:58]

########## EOF - C:\AdwCleaner[S1].txt - [3922 octets] ##########
         
--- --- ---

[/CODE]

What's next?

*EDIT*

Wie sieht es mit Passwortern aus. Soll der User alle seine Passwörter ändern?


Grüße,
Christian

Geändert von Chris_tian (21.02.2013 um 19:18 Uhr) Grund: Etwas vergessen, siehe *Edit

Alt 25.02.2013, 17:42   #12
markusg
/// Malware-holic
 
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Standard

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?



Hi
kannst du noch mal die neueste ADW cleaner version laden, und ausführen wie oben?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?
avira, avira echtzeitscanner, bingbar, browser, converter, desktop, e-mail, error, failed, februar 2013, firefox, flash player, google, home, homepage, iexplore.exe, install.exe, lenovo, logfile, mahnung, malware, microsoft office starter 2010, mp3, ntdll.dll, problem, programm, realtek, scan, security, starten, taskhost.exe, tr/rogue.kd.853855.1, trojaner, trojaner board, windows, wuauclt.exe



Ähnliche Themen: Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?


  1. Windows 10: "JS/Iframe.MA Trojaner" von ESET erkannt & in Quarantäne verschoben
    Log-Analyse und Auswertung - 29.09.2015 (7)
  2. Windows7: Seiten springen auf Werbung um, Seiten nich zu öffnen oder schließen "Tr.Drop.Rotbrow.K.1 " und 8 weitere Viren in Quarantäne"
    Log-Analyse und Auswertung - 21.03.2015 (9)
  3. TR/crypt.ulpm.gm gefunden von AVIRA aber nur in Quarantäne verschoben
    Log-Analyse und Auswertung - 09.01.2015 (11)
  4. Adware/Graftor.151675.8 von Avira gefunden und in Quarantäne verschoben (Windows 8), Probleme verschwunden, weitere Schritte?
    Log-Analyse und Auswertung - 15.10.2014 (9)
  5. Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (77)
  6. Avira meldet nach Update "TR/Spy.131488" gefunden --> Quarantäne und nun?
    Log-Analyse und Auswertung - 10.03.2014 (13)
  7. Freeware-Mitbringsel Juchee! - Weitere Schritte zur Müllentfernung notwendig...
    Plagegeister aller Art und deren Bekämpfung - 06.03.2014 (12)
  8. AVIRA hat den Trojaner TR/Matsnu.G in Quarantäne verschoben, reicht das aus? Ist das System wieder sicher?
    Log-Analyse und Auswertung - 13.11.2013 (5)
  9. Trojanische Pferd TR/Injector.OH von Avira gefunden und in Quarantäne verschoben
    Plagegeister aller Art und deren Bekämpfung - 30.06.2013 (2)
  10. Avira hat "TR/Rogue.KD.853855.1", TR/SPY.Bebloh.P, TR/Agent.12697, TR/PSW.Zbot.347 -> was ist zu tun?
    Plagegeister aller Art und deren Bekämpfung - 19.02.2013 (21)
  11. "Dieses Programm kann die Webseite nicht anzeigen" - weitere Schritte
    Log-Analyse und Auswertung - 03.10.2012 (3)
  12. Avast-Meldung: Datei "800000cb.@ TR..." gefunden und in Container verschoben
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (3)
  13. Malwarebytes findet Trojan.Lameshield. Welche Schritte sind nun notwendig?
    Plagegeister aller Art und deren Bekämpfung - 27.07.2012 (24)
  14. Zugriff "mor.exe" blockiert - Weitere Aktionen notwendig?
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (9)
  15. Avira findet "TR/Rogue.kdv.623486" und "EXP/12-0507.BD.2.B"
    Plagegeister aller Art und deren Bekämpfung - 20.05.2012 (3)
  16. EXP/CVE-2012-0507 in Quarantäne verschoben! Weitere Schritte notwendig?
    Log-Analyse und Auswertung - 21.04.2012 (36)
  17. Avira meldet den Trojaner Shutdowner.fft - weitere Schritte ?
    Plagegeister aller Art und deren Bekämpfung - 25.12.2010 (5)

Zum Thema Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? - Hallo Trojaner Board Team, anfangen möchte ich mit einem Lob: Ich finde es klasse was ihr hier macht! Nun zu meinem Problem bzw. zu meiner Frage. Eines meiner Familienmitglieder hat - Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?...
Archiv
Du betrachtest: Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.