Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner unter Windows VISTA 32 Bit Home Premium

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 20.02.2013, 11:31   #1
derstef66
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hallo zusammen,
ich habe mir den GVU-Trojaner auf meinem Windows VISTA 32-Bit System eingefangen.
Der Versuch, den Plagegeist über den abgesicherten Modus loszuwerden war erfolglos, ich bekomme nur einen schwarzen Bildschirm.
Die Kaspersky Notfall CD hilft auch nicht weiter, der Windowsunlocker tut nichts und der Virenscan von der CD bleibt dauerhaft bei 1%.
Jetzt bin ich mit meinem Latein am Ende und benötige dringend Hilfe.

Gruß
derstef
Geändert von derstef66 (20.02.2013 um 11:31 Uhr) Grund: Tippfehler

Alt 20.02.2013, 11:49   #2
aharonov
/// TB-Ausbilder
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hallo derstef und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf
  • Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
    • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
    • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
    • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
    • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.
  • Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
    • .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
    • .. installiere oder deinstalliere während der Bereinigung keine Software.
    • .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).
  • Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
    • Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
    • Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.
Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.



Suchen wir dieses Ding:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:
Variante 1 - Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während des Hochfahrens drücke mehrmals die F8 Taste.
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und boote von der CD.
  • Wähle die Spracheinstellungen und klicke Weiter.
  • Klicke auf Computerreparaturoptionen.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
  • Gib nun bitte notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.
  • Gib nun bitte folgenden Befehl ein und drücke Enter:
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan.
Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Log von FRST
__________________

__________________
Alt 20.02.2013, 12:13   #3
derstef66
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hallo Leo,
vielen Dank für die schnelle Antwort, hier der Logtext:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 17-02-2013 01
Ran by SYSTEM at 20-02-2013 12:06:04
Running from D:\
Windows Vista (TM) Home Premium (X86) OS Language: German Standard
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide [1008184 2008-01-19] (Microsoft Corporation)
HKLM\...\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-06-04] (Intel Corporation)
HKLM\...\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r [180224 2006-12-06] (Creative Technology Ltd)
HKLM\...\Run: [UpdReg] C:\Windows\UpdReg.EXE [90112 2000-05-11] (Creative Technology Ltd.)
HKLM\...\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start [81920 2006-10-03] (Macrovision Corporation)
HKLM\...\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" [74752 2011-10-26] (Nullsoft, Inc.)
HKLM\...\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup [221184 2006-10-03] (Macrovision Corporation)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [937920 2011-06-06] (Adobe Systems Incorporated)
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-11-28] (Apple Inc.)
HKLM\...\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey [514936 2012-10-07] (McAfee, Inc.)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [152544 2012-12-12] (Apple Inc.)
HKLM\...\Run: [mcpltui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey [514936 2012-10-07] (McAfee, Inc.)
HKU\Stefan\...\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe [125952 2008-01-19] (Microsoft Corporation)
HKU\Stefan\...\Run: [sbPopper] C:\Program Files\MonkeyLicense\sbPopper\sbPopper.exe [x]
HKU\Stefan\...\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2008-08-27] (Google Inc.)
HKU\Stefan\...\Run: [MobileDocuments] C:\Program Files\Common Files\Apple\Internet Services\ubd.exe [x]
HKU\Stefan\...\Run: [Creative MediaSource Go] "C:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB [204800 2006-11-09] (Creative Technology Ltd)
HKU\Stefan\...\Run: [Spotify Web Helper] "C:\Users\Stefan\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [1199576 2013-01-04] (Spotify Ltd)
HKU\Stefan\...\CurrentVersion\Windows: [Load] C:\Users\Stefan\LOCALS~1\Temp\msdrcn.cmd
HKU\Stefan\...\Winlogon: [Userinit] C:\Users\Stefan\AppData\Roaming\1.exe [433697 2013-02-20] ()
HKU\Stefan\...\Winlogon: [Shell] C:\Users\Stefan\AppData\Roaming\1.exe [433697 2013-02-20] ()
AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
Tcpip\..\Interfaces\{F5A2109B-C59D-410D-A4C2-E5BE6D59C760}: [NameServer]192.168.178.1,192.168.178.2
Startup: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BUFFALO NAS Navigator.lnk
ShortcutTarget: BUFFALO NAS Navigator.lnk -> X:\Program Files\BUFFALO\NASNAVI\NasNavi.exe (No File)
Startup: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk
ShortcutTarget: ja.lnk -> (No File)
Startup: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NAS Scheduler.lnk
ShortcutTarget: NAS Scheduler.lnk -> X:\Program Files\BUFFALO\NASNAVI\nassche.exe (No File)

==================== Services (Whitelisted) ===================

2 AVM IGD CTRL Service; C:\Program Files\FRITZ!DSL\IGDCTRL.EXE [81920 2005-11-21] (AVM Berlin)
2 BlueSoleilCS; C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe [1155180 2008-05-23] ()
3 BsHelpCS; C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe [57447 2007-08-17] ()
2 ClipInc001; C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe 001 [2195720 2008-11-28] ()
3 de_serv; C:\Program Files\Common Files\AVM\de_serv.exe [315392 2005-11-21] (AVM Berlin)
2 EPGService; C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe [361984 2006-11-28] (Hauppauge Computer Works)
3 GoogleDesktopManager-051210-111108; "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [30192 2010-10-30] (Google)
3 HauppaugeTVServer; C:\PROGRA~1\WinTV\HCWTVS~1.EXE [815104 2007-02-20] (Hauppauge Computer Works)
2 HomeNetSvc; "C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [184288 2012-10-07] (McAfee, Inc.)
2 McAfee SiteAdvisor Service; "C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [167784 2012-08-31] (McAfee, Inc.)
2 McMPFSvc; "C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [184288 2012-10-07] (McAfee, Inc.)
2 McNaiAnn; "C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [184288 2012-10-07] (McAfee, Inc.)
3 McODS; "C:\Program Files\McAfee\VirusScan\mcods.exe" [279072 2012-11-22] (McAfee, Inc.)
4 McOobeSv; "C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [167784 2012-08-31] (McAfee, Inc.)
2 mcpltsvc; "C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [184288 2012-10-07] (McAfee, Inc.)
2 McProxy; "C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [184288 2012-10-07] (McAfee, Inc.)
2 mfecore; C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe [632344 2012-10-06] (McAfee, Inc.)
2 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe" [168880 2012-11-09] (McAfee, Inc.)
2 mfevtp; "C:\Windows\system32\mfevtps.exe" [167344 2012-11-09] (McAfee, Inc.)
2 MSK80Service; "C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [184288 2012-10-07] (McAfee, Inc.)
2 NasPmService; C:\Program Files\BUFFALO\NASNAVI\nassvc.exe -Service_Execute -dcyc=60 -dto=3 -dluc=0 -dmin=1 -dmax=60 -dflc=0 -apc=0 -log=0 -pm=1 -pall=1 -phttp=0 -pbc=0 -ppro=0 -pcyc=0 -pmin=1 -pmax=60 -pflc=0 [251184 2009-05-15] (BUFFALO INC.)
2 NAUpdate; "C:\Program Files\Nero\Update\NASvc.exe" [490280 2010-03-25] (Nero AG)
3 CT20XUT.DLL; C:\Windows\System32\CT20XUT.DLL [x]
3 CTEXFIFX.DLL; C:\Windows\System32\CTEXFIFX.DLL [x]
3 CTHWIUT.DLL; C:\Windows\System32\CTHWIUT.DLL [x]
2 IswSvc; "C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe" [x]
3 McAWFwk; c:\PROGRA~1\mcafee\msc\mcawfwk.exe [x]
2 Nero BackItUp Scheduler 4.0; C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe [x]
3 rpcapd; "C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini" [x]
3 stllssvr; "C:\Program Files\Common Files\SureThing Shared\stllssvr.exe" [x]

==================== Drivers (Whitelisted) ====================

3 Afc; C:\Windows\System32\drivers\Afc.sys [11776 2005-02-23] (Arcsoft, Inc.)
3 avmaura; C:\Windows\System32\DRIVERS\avmaura.sys [101248 2008-11-16] (AVM Berlin)
3 BlueletAudio; C:\Windows\System32\DRIVERS\blueletaudio.sys [34312 2008-05-23] (IVT Corporation.)
3 BlueletSCOAudio; C:\Windows\System32\DRIVERS\BlueletSCOAudio.sys [27656 2007-06-24] (IVT Corporation.)
3 BT; C:\Windows\System32\DRIVERS\btnetdrv.sys [18320 2007-03-05] (IVT Corporation.)
3 Btcsrusb; C:\Windows\System32\Drivers\btcusb.sys [38920 2007-06-24] (IVT Corporation.)
0 BTHidEnum; C:\Windows\System32\Drivers\vbtenum.sys [20880 2007-03-05] (IVT Corporation.)
0 BTHidMgr; C:\Windows\System32\Drivers\BTHidMgr.sys [35600 2007-03-05] (IVT Corporation.)
3 cfwids; C:\Windows\System32\drivers\cfwids.sys [60480 2012-11-09] (McAfee, Inc.)
3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.)
3 hcw95bda; C:\Windows\System32\Drivers\hcw95bda.sys [467456 2007-04-04] (Hauppauge Computer Works, Inc.)
3 hcw95rc; C:\Windows\System32\DRIVERS\hcw95rc.sys [15488 2007-04-04] (Hauppauge Computer Works, Inc.)
3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [147472 2012-05-28] (McAfee, Inc.)
0 McPvDrv; C:\Windows\System32\drivers\McPvDrv.sys [65856 2012-10-19] (McAfee, Inc.)
3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [132912 2012-11-09] (McAfee, Inc.)
3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [234824 2012-11-09] (McAfee, Inc.)
3 mfebopk; C:\Windows\System32\drivers\mfebopk.sys [65488 2012-11-09] (McAfee, Inc.)
3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [362640 2012-11-09] (McAfee, Inc.)
0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [565352 2012-11-09] (McAfee, Inc.)
3 mfencbdc; C:\Windows\System32\DRIVERS\mfencbdc.sys [252200 2012-11-02] (McAfee, Inc.)
3 mfencrk; C:\Windows\System32\DRIVERS\mfencrk.sys [81456 2012-11-02] (McAfee, Inc.)
1 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [210136 2012-11-09] (McAfee, Inc.)
3 nmwcdnsu; C:\Windows\System32\drivers\nmwcdnsu.sys [137344 2010-02-26] (Nokia)
3 nmwcdnsuc; C:\Windows\System32\drivers\nmwcdnsuc.sys [8320 2010-02-26] (Nokia)
3 NPF; C:\Windows\System32\drivers\npf.sys [32512 2005-08-02] (CACE Technologies)
3 RRNetCap; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2012-01-03] (RapidSolution Software AG)
3 RRNetCapMP; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2012-01-03] (RapidSolution Software AG)
0 sptd; C:\Windows\System32\Drivers\sptd.sys [685816 2007-09-08] (Duplex Secure Ltd.)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2009-05-11] (Avira GmbH)
3 tbhsd; C:\Windows\System32\drivers\tbhsd.sys [39016 2012-01-03] (RapidSolution Software AG)
3 UMSSSTOR; C:\Windows\System32\DRIVERS\UMSS.SYS [48512 2004-07-13] (C-Media Corporation)
3 VComm; C:\Windows\System32\DRIVERS\VComm.sys [34448 2007-03-05] (IVT Corporation.)
3 VcommMgr; C:\Windows\System32\Drivers\VcommMgr.sys [44304 2007-03-05] (IVT Corporation.)
4 blbdrive; C:\Windows\system32\drivers\blbdrive.sys [x]
3 BTWUSB; C:\Windows\System32\Drivers\btwusb.sys [x]
3 IpInIp; C:\Windows\System32\DRIVERS\ipinip.sys [x]
2 ISWKL; \??\C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [x]
3 mfeavfk01; [x]
3 NwlnkFlt; C:\Windows\System32\DRIVERS\nwlnkflt.sys [x]
3 NwlnkFwd; C:\Windows\System32\DRIVERS\nwlnkfwd.sys [x]
3 tosporte; C:\Windows\System32\DRIVERS\tosporte.sys [x]
3 Tosrfbd; C:\Windows\System32\DRIVERS\tosrfbd.sys [x]
3 tosrfbnp; C:\Windows\System32\Drivers\tosrfbnp.sys [x]
3 Tosrfcom; C:\Windows\System32\Drivers\tosrfcom.sys [x]
3 Tosrfhid; C:\Windows\System32\DRIVERS\Tosrfhid.sys [x]
3 tosrfnds; C:\Windows\System32\DRIVERS\tosrfnds.sys [x]
3 TosRfSnd; C:\Windows\System32\drivers\tosrfsnd.sys [x]
3 Tosrfusb; C:\Windows\System32\DRIVERS\tosrfusb.sys [x]
3 vsdatant7; C:\Windows\System32\drivers\vsdatant.win7.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-02-20 12:05 - 2013-02-20 12:05 - 00000000 ____D C:\FRST
2013-02-20 08:44 - 2013-02-20 08:44 - 00433697 __ASH C:\Users\Stefan\AppData\Roaming\1.exe
2013-02-19 10:15 - 2013-02-19 10:15 - 00000000 ____D C:\Users\Stefan\Downloads\Tall Dwarfs
2013-02-15 03:04 - 2013-01-08 23:23 - 12321280 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-02-15 03:04 - 2013-01-08 23:11 - 01800704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-02-15 03:04 - 2013-01-08 23:09 - 09738240 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-02-15 03:04 - 2013-01-08 23:03 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-02-15 03:04 - 2013-01-08 23:03 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-02-15 03:04 - 2013-01-08 23:03 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-02-15 03:04 - 2013-01-08 23:01 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-02-15 03:04 - 2013-01-08 23:00 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-02-15 03:04 - 2013-01-08 22:59 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-02-15 03:04 - 2013-01-08 22:58 - 00717824 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-02-15 03:04 - 2013-01-08 22:58 - 00420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-02-15 03:04 - 2013-01-08 22:57 - 00607744 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-02-15 03:04 - 2013-01-08 22:56 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-02-15 03:04 - 2013-01-08 22:56 - 01796096 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-02-15 03:04 - 2013-01-08 22:56 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-02-15 03:04 - 2013-01-08 22:53 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-02-14 04:39 - 2013-01-05 06:26 - 03602808 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-02-14 04:39 - 2013-01-05 06:26 - 03550072 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-02-14 04:39 - 2013-01-04 12:28 - 00914792 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-02-14 04:39 - 2013-01-04 02:55 - 00031232 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpipreg.sys
2013-02-14 04:39 - 2013-01-04 02:38 - 02048512 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-02-14 04:39 - 2012-11-08 04:48 - 01314816 ____A (Microsoft Corporation) C:\Windows\System32\quartz.dll

==================== One Month Modified Files and Folders ========

2013-02-20 12:05 - 2013-02-20 12:05 - 00000000 ____D C:\FRST
2013-02-20 11:51 - 2011-04-17 13:56 - 00000000 ____D C:\Users\Stefan\Downloads\Wii
2013-02-20 11:50 - 2010-07-20 18:23 - 00000000 ____D C:\Users\Stefan\Downloads\Software
2013-02-20 11:49 - 2012-04-09 08:57 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-02-20 11:42 - 2011-01-24 21:38 - 00001022 ____A C:\Windows\Tasks\Google Software Updater.job
2013-02-20 11:39 - 2007-07-31 19:56 - 00000000 ____D C:\users\Stefan
2013-02-20 11:29 - 2010-01-27 23:17 - 00001098 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-02-20 11:15 - 2012-07-15 10:40 - 00001713 ____A C:\Users\Public\Desktop\McAfee Total Protection.lnk
2013-02-20 11:13 - 2013-01-19 14:54 - 00000000 __RSD C:\Users\Stefan\Documents\McAfee-Tresore
2013-02-20 11:13 - 2007-07-26 20:56 - 01110960 ____A C:\Windows\WindowsUpdate.log
2013-02-20 11:10 - 2007-08-16 20:34 - 00000000 ____D C:\Program Files\WinTV
2013-02-20 11:08 - 2010-05-13 13:53 - 00034997 ____A C:\ProgramData\nvModes.001
2013-02-20 11:08 - 2010-01-27 23:17 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-02-20 11:08 - 2008-05-23 16:42 - 00004335 ____A C:\Windows\System32\LOCALSERVICE.INI
2013-02-20 11:08 - 2007-09-14 09:34 - 00000972 ____A C:\Windows\System32\bscs.ini
2013-02-20 11:08 - 2006-11-02 14:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-02-20 11:08 - 2006-11-02 13:47 - 00003696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-02-20 11:08 - 2006-11-02 13:47 - 00003696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-02-20 09:14 - 2006-11-02 14:01 - 00032534 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-02-20 08:44 - 2013-02-20 08:44 - 00433697 __ASH C:\Users\Stefan\AppData\Roaming\1.exe
2013-02-20 08:31 - 2010-01-11 22:46 - 00000000 ____D C:\Program Files\JDownloader
2013-02-19 10:15 - 2013-02-19 10:15 - 00000000 ____D C:\Users\Stefan\Downloads\Tall Dwarfs
2013-02-19 09:27 - 2008-07-18 18:35 - 00000000 ____D C:\Users\Stefan\AppData\Roaming\Winamp
2013-02-18 08:33 - 2010-05-11 22:32 - 00034997 ____A C:\ProgramData\nvModes.dat
2013-02-15 08:13 - 2008-02-14 22:39 - 00000000 ____D C:\Program Files\UltraStar
2013-02-15 03:39 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-02-15 03:31 - 2006-11-02 13:47 - 00308856 ____A C:\Windows\System32\FNTCACHE.DAT
2013-02-15 03:06 - 2007-10-29 18:10 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-02-15 03:06 - 2006-11-02 11:24 - 67823584 ____A (Microsoft Corporation) C:\Windows\System32\mrt.exe
2013-02-15 03:02 - 2006-11-02 11:33 - 01468520 ____A C:\Windows\System32\PerfStringBackup.INI
2013-02-13 10:10 - 2011-11-13 15:05 - 00175678 ____A C:\Windows\PFRO.log
2013-02-11 19:33 - 2012-07-15 10:35 - 00000000 ____D C:\Program Files\McAfee
2013-02-09 12:50 - 2012-04-09 08:57 - 00697712 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-02-09 12:50 - 2011-05-16 10:42 - 00074096 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-02-08 14:28 - 2012-12-02 00:54 - 00001933 ____A C:\Users\Public\Desktop\Google Chrome.lnk

==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2012-12-16 14:27] - [2012-08-21 12:47] - 0224640 ____A (Microsoft Corporation) 786DB5771F05EF300390399F626BF30A


==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-02-15 03:00:29
Restore point made on: 2013-02-15 08:12:41
Restore point made on: 2013-02-15 08:13:36
Restore point made on: 2013-02-16 00:00:13
Restore point made on: 2013-02-18 09:17:52
Restore point made on: 2013-02-19 00:00:14
Restore point made on: 2013-02-20 00:00:18

==================== Memory info ===========================

Percentage of memory in use: 11%
Total physical RAM: 3069.32 MB
Available physical RAM: 2717.88 MB
Total Pagefile: 2966.89 MB
Available Pagefile: 2811.05 MB
Total Virtual: 2047.88 MB
Available Virtual: 1975.71 MB

==================== Partitions =============================

1 Drive c: (OS) (Fixed) (Total:287.96 GB) (Free:75.29 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
2 Drive d: () (Removable) (Total:1.91 GB) (Free:0.37 GB) FAT
7 Drive i: (KRD10) (CDROM) (Total:0.28 GB) (Free:0 GB) CDFS
8 Drive x: (RECOVERY) (Fixed) (Total:10 GB) (Free:6.15 GB) NTFS

Datentr ### Status GrӇe Frei Dyn GPT
-------- ---------- ------- ------- --- ---
0 Online 298 GB 93 KB
1 Online 1960 MB 0 B
2 Kein Mediu 0 B 0 B
3 Kein Mediu 0 B 0 B
4 Kein Mediu 0 B 0 B
5 Kein Mediu 0 B 0 B



Last Boot: 2013-02-20 11:16

==================== End Of Log ============================
__________________
Alt 20.02.2013, 12:46   #4
aharonov
/// TB-Ausbilder
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hi,

Der erste Schritt sollte die Sperrung aufheben. Danach die weiteren Schritte im normalen Modus abarbeiten:


Schritt 1

Drücke auf einem Zweitrechner bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Code:
ATTFilter
HKU\Stefan\...\CurrentVersion\Windows: [Load] C:\Users\Stefan\LOCALS~1\Temp\msdrcn.cmd
HKU\Stefan\...\Winlogon: [Userinit] C:\Users\Stefan\AppData\Roaming\1.exe [433697 2013-02-20] ()
HKU\Stefan\...\Winlogon: [Shell] C:\Users\Stefan\AppData\Roaming\1.exe [433697 2013-02-20] ()
C:\Users\Stefan\LOCALS~1\Temp\msdrcn.cmd
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk
2013-02-20 08:44 - 2013-02-20 08:44 - 00433697 __ASH C:\Users\Stefan\AppData\Roaming\1.exe
Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.
  • Schliesse den USB Stick wieder an den infizierten Rechner an.
  • Starte deinen Rechner erneut in die Reparaturoptionen.
  • Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.
Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.



Ab hier wieder im normalen Modus:

Schritt 2

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button.
  • Bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
  • Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 3

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.
  • Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
  • Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
  • Schliesse bitte alle anderen Programme.
  • Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Sollte sich ein Fenster mit folgender Warnung öffnen
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    dann klicke unbedingt auf No.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Show all
  • Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
  • Starte den Scan mit einem Klick auf Scan.
  • Mache gar nichts am Computer, während der Scan läuft!
  • Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
  • Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
  • Füge bitte den Inhalt des Logfiles hier in deine Thread ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 4

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von FRST
  • Log von Gmer
  • Logs von OTL
__________________
cheers,
Leo

Alt 20.02.2013, 14:14   #5
derstef66
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hallo Leo,
leider komme ich nicht über den Scan mit Gmer.exe hinaus, das Programm stürzt immer wieder beim scan von \Device\HarddiskVolumeShadowCopy1(oder 2 oder 3) ab.

Hier erst einmal der Fixlog von frst:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 17-02-2013 01
Ran by SYSTEM at 2013-02-20 13:12:43 Run:1
Running from D:\

==============================================

HKEY_USERS\Stefan\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load Value not found.
HKEY_USERS\Stefan\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit Value deleted successfully.
HKEY_USERS\Stefan\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.
C:\Users\Stefan\LOCALS~1\Temp\msdrcn.cmd moved successfully.
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk moved successfully.
C:\Users\Stefan\AppData\Roaming\1.exe moved successfully.

==== End of Fixlog ====


Alt 20.02.2013, 14:19   #6
aharonov
/// TB-Ausbilder
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hallo,

Zitat:
das Programm stürzt immer wieder beim scan von ... ab
Dann nimm vor dem Scan auf der rechten Seite zusätzlich noch den Haken bei Devices raus und versuchs nochmals.
__________________
--> GVU-Trojaner unter Windows VISTA 32 Bit Home Premium

Alt 20.02.2013, 14:27   #7
derstef66
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Nur den bei devices oder auch bei IAT/EAT?

Alt 20.02.2013, 14:33   #8
aharonov
/// TB-Ausbilder
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Zusätzlich bei devices. Also alles genau so machen wie in der obigen Anleitung (inkl. Haken rausnehmen bei IAT/EAT) und dann ebenfalls noch Haken raus bei devices.
__________________
cheers,
Leo

Alt 21.02.2013, 08:31   #9
derstef66
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Guten Morgen Leo,
hier der Gmer-Log, der Scan ist fast 20 Stunden gelaufen...

GMER Logfile:
Code:
ATTFilter
GMER 2.1.18952 - GMER - Rootkit Detector and Remover
Rootkit scan 2013-02-21 07:27:53
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 Intel___ rev.1.0. 298,02GB
Running: 99bsfs37.exe; Driver: C:\Users\Stefan\AppData\Local\Temp\uxdiqpob.sys


---- System - GMER 2.1 ----

Code   \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                           ZwMapViewOfSection [0x837692E8]
Code   \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                           ZwTerminateProcess [0x83769312]
Code   \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                           ZwUnmapViewOfSection [0x837692FE]
Code   \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                           ZwYieldExecution [0x837692D4]
Code   \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                           NtMapViewOfSection

---- Kernel code sections - GMER 2.1 ----

.text  ntkrnlpa.exe!ZwYieldExecution                                                                                        83030992 5 Bytes  JMP 837692D8 \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
PAGE   ntkrnlpa.exe!ZwTerminateProcess                                                                                      831F60D3 5 Bytes  JMP 83769316 \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
PAGE   ntkrnlpa.exe!NtMapViewOfSection                                                                                      8321583A 7 Bytes  JMP 837692EC \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
PAGE   ntkrnlpa.exe!ZwUnmapViewOfSection                                                                                    83215AFD 5 Bytes  JMP 83769302 \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)

---- User code sections - GMER 2.1 ----

.text  C:\Windows\system32\services.exe[836] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 00090000 
.text  C:\Windows\system32\services.exe[836] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 00090011 
.text  C:\Windows\system32\services.exe[836] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 00090FDB 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 000F0F5B 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 000F00A1 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 000F0F14 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 000F0F2F 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 000F0086 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 000F0FE5 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 000F0036 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 000F0F76 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 000F0069 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 000F0058 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 000F0FB6 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 000F0047 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 000F0F87 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 000F00C6 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 000F0011 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 000F0000 
.text  C:\Windows\system32\services.exe[836] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 000F0F40 
.text  C:\Windows\system32\services.exe[836] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 00100FB3 
.text  C:\Windows\system32\services.exe[836] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 0010004E 
.text  C:\Windows\system32\services.exe[836] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 00100000 
.text  C:\Windows\system32\services.exe[836] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 0010005F 
.text  C:\Windows\system32\services.exe[836] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 00100FA2 
.text  C:\Windows\system32\services.exe[836] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 0010002C 
.text  C:\Windows\system32\services.exe[836] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 0010001B 
.text  C:\Windows\system32\services.exe[836] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 0010003D 
.text  C:\Windows\system32\services.exe[836] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 000E0FB7 
.text  C:\Windows\system32\services.exe[836] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 000E0042 
.text  C:\Windows\system32\services.exe[836] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 000E0FD2 
.text  C:\Windows\system32\services.exe[836] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 000E0FEF 
.text  C:\Windows\system32\services.exe[836] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 000E0031 
.text  C:\Windows\system32\services.exe[836] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 000E000C 
.text  C:\Windows\system32\services.exe[836] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 000D0FEF 
.text  C:\Windows\system32\lsass.exe[872] ntdll.dll!NtCreateFile                                                            76F04244 5 Bytes  JMP 000F0000 
.text  C:\Windows\system32\lsass.exe[872] ntdll.dll!NtCreateProcess                                                         76F04304 5 Bytes  JMP 000F0022 
.text  C:\Windows\system32\lsass.exe[872] ntdll.dll!NtProtectVirtualMemory                                                  76F04BA4 5 Bytes  JMP 000F0011 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!GetStartupInfoW                                                      756D1929 5 Bytes  JMP 00B90079 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!GetStartupInfoA                                                      756D19C9 5 Bytes  JMP 00B90F33 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!CreateProcessW                                                       756D1BF3 5 Bytes  JMP 00B90F07 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!CreateProcessA                                                       756D1C28 5 Bytes  JMP 00B90F18 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!VirtualProtect                                                       756D1DC3 5 Bytes  JMP 00B90F4E 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!CreateNamedPipeA                                                     756D2EF5 5 Bytes  JMP 00B90FB9 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!CreateNamedPipeW                                                     756D5C0C 5 Bytes  JMP 00B90FA8 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!CreatePipe                                                           756F8EF6 5 Bytes  JMP 00B9005E 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!LoadLibraryExW                                                       756F926C 5 Bytes  JMP 00B90F5F 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!LoadLibraryW                                                         756F93F0 5 Bytes  JMP 00B90F8D 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!LoadLibraryExA                                                       756F9544 5 Bytes  JMP 00B90F7C 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!LoadLibraryA                                                         756F956C 5 Bytes  JMP 00B9001E 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!VirtualProtectEx                                                     756FDC3A 5 Bytes  JMP 00B90043 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!GetProcAddress                                                       7571921B 5 Bytes  JMP 00B90EF6 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!CreateFileW                                                          7571B0CB 5 Bytes  JMP 00B90FD4 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!CreateFileA                                                          7571D05F 5 Bytes  JMP 00B90FEF 
.text  C:\Windows\system32\lsass.exe[872] kernel32.dll!WinExec                                                              7576614F 5 Bytes  JMP 00B90094 
.text  C:\Windows\system32\lsass.exe[872] ADVAPI32.dll!RegCreateKeyExA                                                      766739AB 5 Bytes  JMP 00BA0F8D 
.text  C:\Windows\system32\lsass.exe[872] ADVAPI32.dll!RegCreateKeyA                                                        76673BA9 5 Bytes  JMP 00BA0FB2 
.text  C:\Windows\system32\lsass.exe[872] ADVAPI32.dll!RegOpenKeyA                                                          766789C7 5 Bytes  JMP 00BA0FEF 
.text  C:\Windows\system32\lsass.exe[872] ADVAPI32.dll!RegCreateKeyW                                                        7668391E 5 Bytes  JMP 00BA0039 
.text  C:\Windows\system32\lsass.exe[872] ADVAPI32.dll!RegCreateKeyExW                                                      766841F1 5 Bytes  JMP 00BA0F7C 
.text  C:\Windows\system32\lsass.exe[872] ADVAPI32.dll!RegOpenKeyExA                                                        76687C42 5 Bytes  JMP 00BA0FD4 
.text  C:\Windows\system32\lsass.exe[872] ADVAPI32.dll!RegOpenKeyW                                                          7668E2B5 5 Bytes  JMP 00BA000A 
.text  C:\Windows\system32\lsass.exe[872] ADVAPI32.dll!RegOpenKeyExW                                                        76697BA1 5 Bytes  JMP 00BA0FC3 
.text  C:\Windows\system32\lsass.exe[872] msvcrt.dll!_wsystem                                                               75677F3F 5 Bytes  JMP 00110FB0 
.text  C:\Windows\system32\lsass.exe[872] msvcrt.dll!system                                                                 7567805B 5 Bytes  JMP 0011003B 
.text  C:\Windows\system32\lsass.exe[872] msvcrt.dll!_creat                                                                 7567BBF1 5 Bytes  JMP 00110FC1 
.text  C:\Windows\system32\lsass.exe[872] msvcrt.dll!_open                                                                  7567D116 5 Bytes  JMP 00110FEF 
.text  C:\Windows\system32\lsass.exe[872] msvcrt.dll!_wcreat                                                                7567D336 5 Bytes  JMP 00110020 
.text  C:\Windows\system32\lsass.exe[872] msvcrt.dll!_wopen                                                                 7567D511 5 Bytes  JMP 00110FD2 
.text  C:\Windows\system32\lsass.exe[872] WS2_32.dll!socket                                                                 755636D1 5 Bytes  JMP 00100FEF 
.text  C:\Windows\system32\svchost.exe[1076] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 00220FEF 
.text  C:\Windows\system32\svchost.exe[1076] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 00220025 
.text  C:\Windows\system32\svchost.exe[1076] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 00220014 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 002F0F2B 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 002F0F3C 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 002F0096 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 002F0EFF 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 002F0F83 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 002F001B 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 002F0FC0 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 002F0F57 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 002F0F9E 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 002F0FAF 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 002F0051 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 002F002C 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 002F0F68 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 002F00A7 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 002F0000 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 002F0FE5 
.text  C:\Windows\system32\svchost.exe[1076] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 002F0F10 
.text  C:\Windows\system32\svchost.exe[1076] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 002C0055 
.text  C:\Windows\system32\svchost.exe[1076] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 002C0044 
.text  C:\Windows\system32\svchost.exe[1076] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 002C0018 
.text  C:\Windows\system32\svchost.exe[1076] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 002C0FEF 
.text  C:\Windows\system32\svchost.exe[1076] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 002C0033 
.text  C:\Windows\system32\svchost.exe[1076] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 002C0FDE 
.text  C:\Windows\system32\svchost.exe[1076] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 00300F7C 
.text  C:\Windows\system32\svchost.exe[1076] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 00300014 
.text  C:\Windows\system32\svchost.exe[1076] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 00300FEF 
.text  C:\Windows\system32\svchost.exe[1076] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 00300F8D 
.text  C:\Windows\system32\svchost.exe[1076] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 00300043 
.text  C:\Windows\system32\svchost.exe[1076] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 00300FC3 
.text  C:\Windows\system32\svchost.exe[1076] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 00300FD4 
.text  C:\Windows\system32\svchost.exe[1076] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 00300FA8 
.text  C:\Windows\system32\svchost.exe[1076] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 002B0000 
.text  C:\Windows\system32\svchost.exe[1156] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 00250FEF 
.text  C:\Windows\system32\svchost.exe[1156] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 00250025 
.text  C:\Windows\system32\svchost.exe[1156] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 0025000A 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 00280F83 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 00280F9E 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 00280F68 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 002800FF 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 0028009D 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 00280FDE 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 0028002F 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 002800C9 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 00280080 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 00280FC3 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 00280065 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 0028004A 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 002800B8 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 00280110 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 00280014 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 00280FEF 
.text  C:\Windows\system32\svchost.exe[1156] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 002800EE 
.text  C:\Windows\system32\svchost.exe[1156] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 00270084 
.text  C:\Windows\system32\svchost.exe[1156] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 00270069 
.text  C:\Windows\system32\svchost.exe[1156] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 0027003A 
.text  C:\Windows\system32\svchost.exe[1156] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 0027000C 
.text  C:\Windows\system32\svchost.exe[1156] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 00270FEF 
.text  C:\Windows\system32\svchost.exe[1156] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 0027001D 
.text  C:\Windows\system32\svchost.exe[1156] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 002D0087 
.text  C:\Windows\system32\svchost.exe[1156] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 002D0062 
.text  C:\Windows\system32\svchost.exe[1156] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 002D0000 
.text  C:\Windows\system32\svchost.exe[1156] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 002D0FDB 
.text  C:\Windows\system32\svchost.exe[1156] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 002D0098 
.text  C:\Windows\system32\svchost.exe[1156] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 002D002C 
.text  C:\Windows\system32\svchost.exe[1156] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 002D0011 
.text  C:\Windows\system32\svchost.exe[1156] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 002D003D 
.text  C:\Windows\system32\svchost.exe[1156] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 00260000 
.text  C:\Windows\System32\svchost.exe[1260] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 009E0FEF 
.text  C:\Windows\System32\svchost.exe[1260] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 009E0FDE 
.text  C:\Windows\System32\svchost.exe[1260] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 009E0014 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 006000C9 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 006000AE 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 00600110 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 006000FF 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 00600F97 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 00600FC3 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 0060001E 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 0060009D 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 00600071 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 00600FA8 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 0060004A 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 0060002F 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 0060008C 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 00600F5E 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 00600FD4 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 00600FEF 
.text  C:\Windows\System32\svchost.exe[1260] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 006000E4 
.text  C:\Windows\System32\svchost.exe[1260] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 00630FB2 
.text  C:\Windows\System32\svchost.exe[1260] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 00630FC3 
.text  C:\Windows\System32\svchost.exe[1260] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 00630FEF 
.text  C:\Windows\System32\svchost.exe[1260] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 00630000 
.text  C:\Windows\System32\svchost.exe[1260] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 00630FD4 
.text  C:\Windows\System32\svchost.exe[1260] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 0063001D 
.text  C:\Windows\System32\svchost.exe[1260] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 00640047 
.text  C:\Windows\System32\svchost.exe[1260] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 00640036 
.text  C:\Windows\System32\svchost.exe[1260] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 00640000 
.text  C:\Windows\System32\svchost.exe[1260] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 00640FAF 
.text  C:\Windows\System32\svchost.exe[1260] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 00640F94 
.text  C:\Windows\System32\svchost.exe[1260] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 0064001B 
.text  C:\Windows\System32\svchost.exe[1260] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 00640FE5 
.text  C:\Windows\System32\svchost.exe[1260] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 00640FCA 
.text  C:\Windows\System32\svchost.exe[1260] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 0062000A 
.text  C:\Windows\System32\svchost.exe[1292] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 015D0000 
.text  C:\Windows\System32\svchost.exe[1292] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 015D001B 
.text  C:\Windows\System32\svchost.exe[1292] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 015D0FE5 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 011800B7 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 0118009C 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 01180F4C 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 011800E3 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 01180F96 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 0118002C 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 01180FDB 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 0118008B 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 01180070 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 0118004E 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 0118005F 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 0118003D 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 01180F85 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 01180F3B 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 0118001B 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 0118000A 
.text  C:\Windows\System32\svchost.exe[1292] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 011800C8 
.text  C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 010F0031 
.text  C:\Windows\System32\svchost.exe[1292] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 010F0020 
.text  C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 010F0FC1 
.text  C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 010F0FE3 
.text  C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 010F0FA6 
.text  C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 010F0FD2 
.text  C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 01100F8D 
.text  C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 0110001E 
.text  C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 01100FEF 
.text  C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 0110002F 
.text  C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 01100F7C 
.text  C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 01100FCD 
.text  C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 01100FDE 
.text  C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 01100FBC 
.text  C:\Windows\System32\svchost.exe[1292] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 010E0000 
.text  C:\Windows\system32\svchost.exe[1308] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 00F40FE5 
.text  C:\Windows\system32\svchost.exe[1308] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 00F40FC3 
.text  C:\Windows\system32\svchost.exe[1308] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 00F40FD4 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 00EF0F5C 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 00EF0098 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 00EF00E9 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 00EF00CE 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 00EF0073 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 00EF0025 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 00EF0040 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 00EF0F6D 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 00EF0062 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 00EF0051 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 00EF0FAF 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 00EF0FD4 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 00EF0F7E 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 00EF00FA 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 00EF0FEF 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 00EF000A 
.text  C:\Windows\system32\svchost.exe[1308] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 00EF00B3 
.text  C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 013D005F 
.text  C:\Windows\system32\svchost.exe[1308] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 013D0FD4 
.text  C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 013D0FEF 
.text  C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 013D0000 
.text  C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 013D0044 
.text  C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 013D001D 
.text  C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 013E0040 
.text  C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 013E0FAF 
.text  C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 013E0FEF 
.text  C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 013E0F9E 
.text  C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 013E0F83 
.text  C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 013E0FCA 
.text  C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 013E0000 
.text  C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 013E001B 
.text  C:\Windows\system32\svchost.exe[1308] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 013C000A 
.text  C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe[1332] kernel32.dll!SetUnhandledExceptionFilter              756FA8B5 5 Bytes  JMP 0049E7A0 C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe
.text  C:\Windows\system32\svchost.exe[1520] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 00220FE5 
.text  C:\Windows\system32\svchost.exe[1520] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 00220025 
.text  C:\Windows\system32\svchost.exe[1520] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 00220000 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 000F009A 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 000F0089 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 000F00C6 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 000F0F2F 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 000F0067 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 000F0FB9 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 000F0000 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 000F0F68 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 000F0F83 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 000F0025 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 000F0036 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 000F0F94 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 000F0078 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 000F0F14 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 000F0FCA 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 000F0FE5 
.text  C:\Windows\system32\svchost.exe[1520] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 000F00AB 
.text  C:\Windows\system32\svchost.exe[1520] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 00250070 
.text  C:\Windows\system32\svchost.exe[1520] msvcrt.dll!system                                                              7567805B 1 Byte  [E9]
.text  C:\Windows\system32\svchost.exe[1520] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 0025005F 
.text  C:\Windows\system32\svchost.exe[1520] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 00250FEF 
.text  C:\Windows\system32\svchost.exe[1520] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 0025000C 
.text  C:\Windows\system32\svchost.exe[1520] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 00250044 
.text  C:\Windows\system32\svchost.exe[1520] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 00250029 
.text  C:\Windows\system32\svchost.exe[1520] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 00210FA8 
.text  C:\Windows\system32\svchost.exe[1520] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 00210FD4 
.text  C:\Windows\system32\svchost.exe[1520] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 0021000A 
.text  C:\Windows\system32\svchost.exe[1520] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 00210FB9 
.text  C:\Windows\system32\svchost.exe[1520] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 00210065 
.text  C:\Windows\system32\svchost.exe[1520] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 0021002C 
.text  C:\Windows\system32\svchost.exe[1520] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 0021001B 
.text  C:\Windows\system32\svchost.exe[1520] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 00210FE5 
.text  C:\Windows\system32\svchost.exe[1520] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 0024000A 
.text  C:\Windows\system32\svchost.exe[1568] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 008E0000 
.text  C:\Windows\system32\svchost.exe[1568] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 008E002C 
.text  C:\Windows\system32\svchost.exe[1568] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 008E001B 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 008C0087 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 008C0F4B 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 008C0F04 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 008C0F1F 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 008C0F6D 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 008C0025 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 008C0FD4 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 008C0F5C 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 008C0F88 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 008C0FAF 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 008C0051 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 008C0036 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 008C0062 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 008C00B6 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 008C000A 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 008C0FEF 
.text  C:\Windows\system32\svchost.exe[1568] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 008C0F30 
.text  C:\Windows\system32\svchost.exe[1568] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 00910038 
.text  C:\Windows\system32\svchost.exe[1568] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 00910027 
.text  C:\Windows\system32\svchost.exe[1568] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 00910FD2 
.text  C:\Windows\system32\svchost.exe[1568] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 00910000 
.text  C:\Windows\system32\svchost.exe[1568] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 00910FB7 
.text  C:\Windows\system32\svchost.exe[1568] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 00910FEF 
.text  C:\Windows\system32\svchost.exe[1568] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 008D001B 
.text  C:\Windows\system32\svchost.exe[1568] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 008D0F94 
.text  C:\Windows\system32\svchost.exe[1568] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 008D0FEF 
.text  C:\Windows\system32\svchost.exe[1568] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 008D0F83 
.text  C:\Windows\system32\svchost.exe[1568] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 008D0F5E 
.text  C:\Windows\system32\svchost.exe[1568] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 008D0FCA 
.text  C:\Windows\system32\svchost.exe[1568] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 008D0000 
.text  C:\Windows\system32\svchost.exe[1568] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 008D0FB9 
.text  C:\Windows\system32\svchost.exe[1568] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 008F0FEF 
.text  C:\Windows\system32\svchost.exe[1568] WININET.dll!InternetOpenA                                                      76FFD5E0 5 Bytes  JMP 00920000 
.text  C:\Windows\system32\svchost.exe[1568] WININET.dll!InternetOpenUrlA                                                   7700E1C6 5 Bytes  JMP 00920FD4 
.text  C:\Windows\system32\svchost.exe[1568] WININET.dll!InternetOpenW                                                      7701C596 5 Bytes  JMP 00920FE5 
.text  C:\Windows\system32\svchost.exe[1568] WININET.dll!InternetOpenUrlW                                                   7706DC08 3 Bytes  JMP 00920FC3 
.text  C:\Windows\system32\svchost.exe[1568] WININET.dll!InternetOpenUrlW + 4                                               7706DC0C 1 Byte  [89]
.text  C:\Windows\system32\svchost.exe[1788] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 00DA0000 
.text  C:\Windows\system32\svchost.exe[1788] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 00DA0FE5 
.text  C:\Windows\system32\svchost.exe[1788] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 00DA0011 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 00D80F41 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 00D80F5C 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 00D80F15 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 00D800AC 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 00D80F7E 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 00D80025 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 00D80036 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 00D8007D 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 00D80062 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 00D80FC0 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 00D80FA5 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 00D80047 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 00D80F6D 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 00D800C7 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 00D80FE5 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 00D80000 
.text  C:\Windows\system32\svchost.exe[1788] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 00D80F30 
.text  C:\Windows\system32\svchost.exe[1788] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 01000047 
.text  C:\Windows\system32\svchost.exe[1788] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 01000036 
.text  C:\Windows\system32\svchost.exe[1788] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 01000011 
.text  C:\Windows\system32\svchost.exe[1788] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 01000000 
.text  C:\Windows\system32\svchost.exe[1788] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 01000FC6 
.text  C:\Windows\system32\svchost.exe[1788] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 01000FD7 
.text  C:\Windows\system32\svchost.exe[1788] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 00D90FB6 
.text  C:\Windows\system32\svchost.exe[1788] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 00D9003D 
.text  C:\Windows\system32\svchost.exe[1788] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 00D90000 
.text  C:\Windows\system32\svchost.exe[1788] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 00D90058 
.text  C:\Windows\system32\svchost.exe[1788] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 00D90073 
.text  C:\Windows\system32\svchost.exe[1788] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 00D90011 
.text  C:\Windows\system32\svchost.exe[1788] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 00D90FDB 
.text  C:\Windows\system32\svchost.exe[1788] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 00D90022 
.text  C:\Windows\system32\svchost.exe[1788] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 00DD0000 
.text  C:\Windows\system32\svchost.exe[1960] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 00200FEF 
.text  C:\Windows\system32\svchost.exe[1960] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 00200FDE 
.text  C:\Windows\system32\svchost.exe[1960] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 0020000A 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 001D0F61 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 001D0F86 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 001D0F1A 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 001D0F35 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 001D0085 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 001D0FDE 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 001D0FCD 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 001D00B1 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 001D0FAB 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 001D005E 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 001D0FBC 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 001D0043 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 001D0096 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 001D0F09 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 001D000A 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 001D0FEF 
.text  C:\Windows\system32\svchost.exe[1960] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 001D0F50 
.text  C:\Windows\system32\svchost.exe[1960] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 00390FC3 
.text  C:\Windows\system32\svchost.exe[1960] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 0039004E 
.text  C:\Windows\system32\svchost.exe[1960] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 00390FDE 
.text  C:\Windows\system32\svchost.exe[1960] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 00390000 
.text  C:\Windows\system32\svchost.exe[1960] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 0039003D 
.text  C:\Windows\system32\svchost.exe[1960] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 00390FEF 
.text  C:\Windows\system32\svchost.exe[1960] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 001E0F8D 
.text  C:\Windows\system32\svchost.exe[1960] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 001E0F9E 
.text  C:\Windows\system32\svchost.exe[1960] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 001E0FEF 
.text  C:\Windows\system32\svchost.exe[1960] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 001E002F 
.text  C:\Windows\system32\svchost.exe[1960] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 001E0054 
.text  C:\Windows\system32\svchost.exe[1960] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 001E000A 
.text  C:\Windows\system32\svchost.exe[1960] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 001E0FD4 
.text  C:\Windows\system32\svchost.exe[1960] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 001E0FAF 
.text  C:\Windows\system32\svchost.exe[1960] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 00220FEF 
.text  C:\Windows\System32\svchost.exe[2108] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 001E0000 
.text  C:\Windows\System32\svchost.exe[2108] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 001E002C 
.text  C:\Windows\System32\svchost.exe[2108] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 001E0011 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 001800BC 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 001800AB 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 001800F2 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 001800E1 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 0018007F 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 00180FD4 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 0018001B 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 00180F80 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 00180058 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 00180FAF 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 00180047 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 0018002C 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 00180090 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 00180F36 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 0018000A 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 00180FEF 
.text  C:\Windows\System32\svchost.exe[2108] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 00180F5B 
.text  C:\Windows\System32\svchost.exe[2108] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 001F0FB7 
.text  C:\Windows\System32\svchost.exe[2108] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 001F0FC8 
.text  C:\Windows\System32\svchost.exe[2108] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 001F001D 
.text  C:\Windows\System32\svchost.exe[2108] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 001F0FEF 
.text  C:\Windows\System32\svchost.exe[2108] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 001F0038 
.text  C:\Windows\System32\svchost.exe[2108] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 001F000C 
.text  C:\Windows\System32\svchost.exe[2108] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 001D0F97 
.text  C:\Windows\System32\svchost.exe[2108] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 001D0FB9 
.text  C:\Windows\System32\svchost.exe[2108] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 001D0FE5 
.text  C:\Windows\System32\svchost.exe[2108] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 001D0FA8 
.text  C:\Windows\System32\svchost.exe[2108] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 001D004A 
.text  C:\Windows\System32\svchost.exe[2108] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 001D001B 
.text  C:\Windows\System32\svchost.exe[2108] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 001D0000 
.text  C:\Windows\System32\svchost.exe[2108] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 001D0FD4 
.text  C:\Windows\System32\svchost.exe[2108] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 0017000A 
.text  C:\Windows\System32\svchost.exe[2432] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 00840FE5 
.text  C:\Windows\System32\svchost.exe[2432] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 0084000A 
.text  C:\Windows\System32\svchost.exe[2432] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 00840FD4 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 00810F1F 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 00810F30 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 00810EE2 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 00810EF3 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 00810F66 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 0081001B 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 00810FD4 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 00810F4B 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 00810F83 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 00810040 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 00810F94 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 00810FC3 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 0081005B 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 00810094 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 00810000 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 00810FE5 
.text  C:\Windows\System32\svchost.exe[2432] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 00810F0E 
.text  C:\Windows\System32\svchost.exe[2432] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 0080005F 
.text  C:\Windows\System32\svchost.exe[2432] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 00800FCA 
.text  C:\Windows\System32\svchost.exe[2432] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 00800FE5 
.text  C:\Windows\System32\svchost.exe[2432] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 00800000 
.text  C:\Windows\System32\svchost.exe[2432] msvcrt.dll!_wcreat                                                             7567D336 1 Byte  [E9]
.text  C:\Windows\System32\svchost.exe[2432] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 0080003A 
.text  C:\Windows\System32\svchost.exe[2432] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 00800029 
.text  C:\Windows\System32\svchost.exe[2432] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 00830080 
.text  C:\Windows\System32\svchost.exe[2432] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 0083004A 
.text  C:\Windows\System32\svchost.exe[2432] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 00830FEF 
.text  C:\Windows\System32\svchost.exe[2432] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 00830065 
.text  C:\Windows\System32\svchost.exe[2432] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 00830FCD 
.text  C:\Windows\System32\svchost.exe[2432] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 00830FDE 
.text  C:\Windows\System32\svchost.exe[2432] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 0083000A 
.text  C:\Windows\System32\svchost.exe[2432] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 00830039 
.text  C:\Windows\System32\svchost.exe[2432] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 007F0000 
.text  C:\Windows\system32\svchost.exe[2508] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 008C0FEF 
.text  C:\Windows\system32\svchost.exe[2508] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 008C0FCA 
.text  C:\Windows\system32\svchost.exe[2508] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 008C0000 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 008A0F54 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 008A009A 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 008A0F32 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 008A0F43 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 008A006E 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 008A002C 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 008A0FDB 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 008A0089 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 008A0F94 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 008A0047 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 008A0FA5 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 008A0FC0 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 008A0F79 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 008A0F21 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 008A0011 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 008A0000 
.text  C:\Windows\system32\svchost.exe[2508] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 008A00B5 
.text  C:\Windows\system32\svchost.exe[2508] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 003D0FB2 
.text  C:\Windows\system32\svchost.exe[2508] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 003D0033 
.text  C:\Windows\system32\svchost.exe[2508] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 003D0FD7 
.text  C:\Windows\system32\svchost.exe[2508] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 003D0000 
.text  C:\Windows\system32\svchost.exe[2508] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 003D0022 
.text  C:\Windows\system32\svchost.exe[2508] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 003D0011 
.text  C:\Windows\system32\svchost.exe[2508] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 008B0FA8 
.text  C:\Windows\system32\svchost.exe[2508] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 008B0FC3 
.text  C:\Windows\system32\svchost.exe[2508] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 008B0000 
.text  C:\Windows\system32\svchost.exe[2508] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 008B004A 
.text  C:\Windows\system32\svchost.exe[2508] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 008B0F97 
.text  C:\Windows\system32\svchost.exe[2508] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 008B0025 
.text  C:\Windows\system32\svchost.exe[2508] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 008B0FEF 
.text  C:\Windows\system32\svchost.exe[2508] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 008B0FD4 
.text  C:\Windows\system32\svchost.exe[2508] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 001D0000 
.text  C:\Windows\system32\svchost.exe[2612] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 00DE0000 
.text  C:\Windows\system32\svchost.exe[2612] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 00DE0FD4 
.text  C:\Windows\system32\svchost.exe[2612] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 00DE0FE5 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 00DC0F80 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 00DC00C6 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 00DC0F51 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 00DC00F2 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 00DC0FB6 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 00DC002C 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 00DC0FD1 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 00DC0F9B 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 00DC0090 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 00DC004E 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 00DC0069 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 00DC003D 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 00DC00AB 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 00DC0F40 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 00DC001B 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 00DC000A 
.text  C:\Windows\system32\svchost.exe[2612] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 00DC00E1 
.text  C:\Windows\system32\svchost.exe[2612] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 00D50F90 
.text  C:\Windows\system32\svchost.exe[2612] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 00D50FAB 
.text  C:\Windows\system32\svchost.exe[2612] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 00D50011 
.text  C:\Windows\system32\svchost.exe[2612] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 00D50000 
.text  C:\Windows\system32\svchost.exe[2612] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 00D50FBC 
.text  C:\Windows\system32\svchost.exe[2612] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 00D50FE3 
.text  C:\Windows\system32\svchost.exe[2612] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 00DD0039 
.text  C:\Windows\system32\svchost.exe[2612] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 00DD001E 
.text  C:\Windows\system32\svchost.exe[2612] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 00DD0FEF 
.text  C:\Windows\system32\svchost.exe[2612] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 00DD0F97 
.text  C:\Windows\system32\svchost.exe[2612] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 00DD004A 
.text  C:\Windows\system32\svchost.exe[2612] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 00DD0FC3 
.text  C:\Windows\system32\svchost.exe[2612] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 00DD0FDE 
.text  C:\Windows\system32\svchost.exe[2612] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 00DD0FA8 
.text  C:\Windows\system32\svchost.exe[2612] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 00690FE5 
.text  C:\Windows\System32\svchost.exe[2640] ntdll.dll!NtCreateFile                                                         76F04244 5 Bytes  JMP 0008000A 
.text  C:\Windows\System32\svchost.exe[2640] ntdll.dll!NtCreateProcess                                                      76F04304 5 Bytes  JMP 00080FE5 
.text  C:\Windows\System32\svchost.exe[2640] ntdll.dll!NtProtectVirtualMemory                                               76F04BA4 5 Bytes  JMP 0008001B 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!GetStartupInfoW                                                   756D1929 5 Bytes  JMP 00060F4D 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!GetStartupInfoA                                                   756D19C9 5 Bytes  JMP 00060F5E 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!CreateProcessW                                                    756D1BF3 5 Bytes  JMP 00060F21 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!CreateProcessA                                                    756D1C28 5 Bytes  JMP 00060F32 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!VirtualProtect                                                    756D1DC3 5 Bytes  JMP 0006006E 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!CreateNamedPipeA                                                  756D2EF5 5 Bytes  JMP 0006001B 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!CreateNamedPipeW                                                  756D5C0C 5 Bytes  JMP 00060FCA 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!CreatePipe                                                        756F8EF6 5 Bytes  JMP 00060089 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!LoadLibraryExW                                                    756F926C 5 Bytes  JMP 00060F94 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!LoadLibraryW                                                      756F93F0 5 Bytes  JMP 00060036 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!LoadLibraryExA                                                    756F9544 5 Bytes  JMP 00060051 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!LoadLibraryA                                                      756F956C 5 Bytes  JMP 00060FAF 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!VirtualProtectEx                                                  756FDC3A 5 Bytes  JMP 00060F79 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!GetProcAddress                                                    7571921B 5 Bytes  JMP 000600DD 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!CreateFileW                                                       7571B0CB 5 Bytes  JMP 00060FE5 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!CreateFileA                                                       7571D05F 5 Bytes  JMP 00060000 
.text  C:\Windows\System32\svchost.exe[2640] kernel32.dll!WinExec                                                           7576614F 5 Bytes  JMP 000600A4 
.text  C:\Windows\System32\svchost.exe[2640] msvcrt.dll!_wsystem                                                            75677F3F 5 Bytes  JMP 0005003B 
.text  C:\Windows\System32\svchost.exe[2640] msvcrt.dll!system                                                              7567805B 5 Bytes  JMP 00050FB0 
.text  C:\Windows\System32\svchost.exe[2640] msvcrt.dll!_creat                                                              7567BBF1 5 Bytes  JMP 00050FD2 
.text  C:\Windows\System32\svchost.exe[2640] msvcrt.dll!_open                                                               7567D116 5 Bytes  JMP 00050FEF 
.text  C:\Windows\System32\svchost.exe[2640] msvcrt.dll!_wcreat                                                             7567D336 5 Bytes  JMP 00050FC1 
.text  C:\Windows\System32\svchost.exe[2640] msvcrt.dll!_wopen                                                              7567D511 5 Bytes  JMP 0005000C 
.text  C:\Windows\System32\svchost.exe[2640] ADVAPI32.dll!RegCreateKeyExA                                                   766739AB 5 Bytes  JMP 00070FA5 
.text  C:\Windows\System32\svchost.exe[2640] ADVAPI32.dll!RegCreateKeyA                                                     76673BA9 5 Bytes  JMP 0007003D 
.text  C:\Windows\System32\svchost.exe[2640] ADVAPI32.dll!RegOpenKeyA                                                       766789C7 5 Bytes  JMP 00070000 
.text  C:\Windows\System32\svchost.exe[2640] ADVAPI32.dll!RegCreateKeyW                                                     7668391E 5 Bytes  JMP 00070FB6 
.text  C:\Windows\System32\svchost.exe[2640] ADVAPI32.dll!RegCreateKeyExW                                                   766841F1 5 Bytes  JMP 00070F94 
.text  C:\Windows\System32\svchost.exe[2640] ADVAPI32.dll!RegOpenKeyExA                                                     76687C42 5 Bytes  JMP 0007001B 
.text  C:\Windows\System32\svchost.exe[2640] ADVAPI32.dll!RegOpenKeyW                                                       7668E2B5 5 Bytes  JMP 00070FE5 
.text  C:\Windows\System32\svchost.exe[2640] ADVAPI32.dll!RegOpenKeyExW                                                     76697BA1 5 Bytes  JMP 0007002C 
.text  C:\Windows\System32\svchost.exe[2640] WS2_32.dll!socket                                                              755636D1 5 Bytes  JMP 00160000 
.text  C:\Windows\Explorer.EXE[2816] ntdll.dll!NtCreateFile                                                                 76F04244 5 Bytes  JMP 03760000 
.text  C:\Windows\Explorer.EXE[2816] ntdll.dll!NtCreateProcess                                                              76F04304 5 Bytes  JMP 03760025 
.text  C:\Windows\Explorer.EXE[2816] ntdll.dll!NtProtectVirtualMemory                                                       76F04BA4 5 Bytes  JMP 03760FEF 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!GetStartupInfoW                                                           756D1929 5 Bytes  JMP 02430F94 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!GetStartupInfoA                                                           756D19C9 5 Bytes  JMP 024300D0 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!CreateProcessW                                                            756D1BF3 5 Bytes  JMP 02430109 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!CreateProcessA                                                            756D1C28 5 Bytes  JMP 02430F72 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!VirtualProtect                                                            756D1DC3 5 Bytes  JMP 02430FAF 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!CreateNamedPipeA                                                          756D2EF5 5 Bytes  JMP 02430FDE 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!CreateNamedPipeW                                                          756D5C0C 5 Bytes  JMP 02430039 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!CreatePipe                                                                756F8EF6 5 Bytes  JMP 024300B5 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!LoadLibraryExW                                                            756F926C 5 Bytes  JMP 02430089 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!LoadLibraryW                                                              756F93F0 5 Bytes  JMP 0243005B 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!LoadLibraryExA                                                            756F9544 5 Bytes  JMP 0243006C 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!LoadLibraryA                                                              756F956C 5 Bytes  JMP 0243004A 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!VirtualProtectEx                                                          756FDC3A 5 Bytes  JMP 024300A4 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!GetProcAddress                                                            7571921B 5 Bytes  JMP 0243011A 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!CreateFileW                                                               7571B0CB 5 Bytes  JMP 0243000A 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!CreateFileA                                                               7571D05F 5 Bytes  JMP 02430FEF 
.text  C:\Windows\Explorer.EXE[2816] kernel32.dll!WinExec                                                                   7576614F 5 Bytes  JMP 02430F83 
.text  C:\Windows\Explorer.EXE[2816] ADVAPI32.dll!RegCreateKeyExA                                                           766739AB 5 Bytes  JMP 03740062 
.text  C:\Windows\Explorer.EXE[2816] ADVAPI32.dll!RegCreateKeyA                                                             76673BA9 5 Bytes  JMP 03740040 
.text  C:\Windows\Explorer.EXE[2816] ADVAPI32.dll!RegOpenKeyA                                                               766789C7 5 Bytes  JMP 03740000 
.text  C:\Windows\Explorer.EXE[2816] ADVAPI32.dll!RegCreateKeyW                                                             7668391E 5 Bytes  JMP 03740051 
.text  C:\Windows\Explorer.EXE[2816] ADVAPI32.dll!RegCreateKeyExW                                                           766841F1 5 Bytes  JMP 03740FA5 
.text  C:\Windows\Explorer.EXE[2816] ADVAPI32.dll!RegOpenKeyExA                                                             76687C42 5 Bytes  JMP 03740FD4 
.text  C:\Windows\Explorer.EXE[2816] ADVAPI32.dll!RegOpenKeyW                                                               7668E2B5 5 Bytes  JMP 03740FEF 
.text  C:\Windows\Explorer.EXE[2816] ADVAPI32.dll!RegOpenKeyExW                                                             76697BA1 5 Bytes  JMP 03740025 
.text  C:\Windows\Explorer.EXE[2816] msvcrt.dll!_wsystem                                                                    75677F3F 5 Bytes  JMP 02420053 
.text  C:\Windows\Explorer.EXE[2816] msvcrt.dll!system                                                                      7567805B 5 Bytes  JMP 02420038 
.text  C:\Windows\Explorer.EXE[2816] msvcrt.dll!_creat                                                                      7567BBF1 5 Bytes  JMP 0242001D 
.text  C:\Windows\Explorer.EXE[2816] msvcrt.dll!_open                                                                       7567D116 5 Bytes  JMP 02420FEF 
.text  C:\Windows\Explorer.EXE[2816] msvcrt.dll!_wcreat                                                                     7567D336 5 Bytes  JMP 02420FD2 
.text  C:\Windows\Explorer.EXE[2816] msvcrt.dll!_wopen                                                                      7567D511 5 Bytes  JMP 02420000 
.text  C:\Windows\Explorer.EXE[2816] WS2_32.dll!socket                                                                      755636D1 5 Bytes  JMP 02410000 
.text  C:\Windows\Explorer.EXE[2816] WININET.dll!InternetOpenA                                                              76FFD5E0 5 Bytes  JMP 03770000 
.text  C:\Windows\Explorer.EXE[2816] WININET.dll!InternetOpenUrlA                                                           7700E1C6 1 Byte  [E9]
.text  C:\Windows\Explorer.EXE[2816] WININET.dll!InternetOpenUrlA                                                           7700E1C6 5 Bytes  JMP 03770FCA 
.text  C:\Windows\Explorer.EXE[2816] WININET.dll!InternetOpenW                                                              7701C596 5 Bytes  JMP 03770FE5 
.text  C:\Windows\Explorer.EXE[2816] WININET.dll!InternetOpenUrlW                                                           7706DC08 5 Bytes  JMP 0377001B 
.text  C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe[3228] kernel32.dll!LoadLibraryW                 756F93F0 5 Bytes  JMP 6ED78690 C:\Program Files\Common Files\McAfee\McProxy\mcproxy.dll (McAfee Proxy Service Module/McAfee, Inc.)
.text  C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe[3228] kernel32.dll!LoadLibraryA                 756F956C 5 Bytes  JMP 6ED78590 C:\Program Files\Common Files\McAfee\McProxy\mcproxy.dll (McAfee Proxy Service Module/McAfee, Inc.)

---- Registry - GMER 2.1 ----

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  (null)
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x98 0x49 0x8C 0xBB ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x81 0xCE 0xF0 0x85 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x80 0xCF 0x68 0x5C ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      (null)
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x98 0x49 0x8C 0xBB ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x81 0xCE 0xF0 0x85 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x80 0xCF 0x68 0x5C ...

---- EOF - GMER 2.1 ----
--- --- ---
Alt 21.02.2013, 08:36   #10
derstef66
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Ach Mist,
ich seh jetzt erst dass man die Logs als Archive anhängen soll, also hier nochmal alle drei fehlenden Logs

Gruß
Stefan

Alt 21.02.2013, 13:30   #11
aharonov
/// TB-Ausbilder
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hallo Stefan,

Zitat:
ich seh jetzt erst dass man die Logs als Archive anhängen soll
Nein, das erschwert mir das Auswerten. Wo hast du das denn gelesen?
Die Logfiles bitte nicht anhängen, sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].

Wir machen weiter:


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
  • Schliesse alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link.
  • WICHTIG: Speichere Combofix auf deinen Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
  • Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von AdwCleaner
  • Log von Combofix
  • Log von OTL
__________________
cheers,
Leo

Alt 21.02.2013, 14:34   #12
derstef66
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hallo Leo,
hier nun die nächsten Logs, zuerst vom ADWCleaner:

AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v2.112 - Datei am 21/02/2013 um 13:42:26 erstellt
# Aktualisiert am 10/02/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : Stefan - STEFAN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Stefan\Desktop\adwcleaner0.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Program Files\Mozilla Firefox\.autoreg
Datei Gelöscht : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelöscht : C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrch.xml
Datei Gelöscht : C:\user.js
Datei Gelöscht : C:\Users\Stefan\AppData\Local\Temp\Uninstall.exe
Datei Gelöscht : C:\Users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\sgqvx6q3.default\searchplugins\Conduit.xml
Ordner Gelöscht : C:\Program Files\Conduit
Ordner Gelöscht : C:\Program Files\vShare
Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\ProgramData\Winamp Toolbar
Ordner Gelöscht : C:\Users\Stefan\AppData\Local\Babylon
Ordner Gelöscht : C:\Users\Stefan\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\Stefan\AppData\Local\Temp\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}
Ordner Gelöscht : C:\Users\Stefan\AppData\Local\Temp\BabylonToolbar
Ordner Gelöscht : C:\Users\Stefan\AppData\Local\Temp\Conduit
Ordner Gelöscht : C:\Users\Stefan\AppData\Local\Winamp Toolbar
Ordner Gelöscht : C:\Users\Stefan\AppData\LocalLow\BabylonToolbar
Ordner Gelöscht : C:\Users\Stefan\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Stefan\AppData\LocalLow\vShare
Ordner Gelöscht : C:\Users\Stefan\AppData\Roaming\Babylon
Ordner Gelöscht : C:\Users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\sgqvx6q3.default\Conduit
Ordner Gelöscht : C:\Users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\sgqvx6q3.default\ConduitCommon
Ordner Gelöscht : C:\Users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\sgqvx6q3.default\CT2613550
Ordner Gelöscht : C:\Users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Headlight
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Winamp Toolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\vShare
Schlüssel Gelöscht : HKCU\Software\Winamp Toolbar
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45A2-B558-1755C3F6253B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{64182481-4F71-486B-A045-B233BD0DA8FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{841FD004-57A2-4B49-BBDB-5897394619DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{DDE2C74F-58CC-4D71-8CE1-09DEBB8CFB78}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{F20F11FD-203E-45A9-B7BB-AFC1B4FEA7A6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{FE178B09-C8AA-4734-804D-1849BCCA0C29}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{51A971CA-D36E-4D13-A799-2CF0A491D04D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{56FBEA9F-EF93-4318-B75F-A96FC7C7BD7B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{78B3C85E-44FF-4DC8-B3AD-156F39DC75E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{841FD004-57A2-4B49-BBDB-5897394619DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E1164984-B567-47BD-A7FF-240C2594404A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E19FDA06-5BDF-43C2-B794-BCD8A4C2051F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FAB076F5-E4DD-4EA4-AFEE-F18BF972B057}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\vsharechrome
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{3E315C81-442B-431C-AEC8-ED189699EC24}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{538CD77C-BFDD-49B0-9562-77419CAB89D1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\vShare.IMedixProtocol
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\vShare.IMedixProtocol.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\vShare.PugiObj
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\vShare.PugiObj.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\vShare.ScriptHelpers
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\vShare.ScriptHelpers.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WinampTb.AOLTBSearch
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WinampTb.AOLTBSearch.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WinampTb.AOLToolBand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WinampTb.AOLToolBand.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WinampTb.Downloader
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WinampTb.Downloader.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WinampTb.ToolbarParams
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WinampTb.ToolbarParams.1
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vShare
Schlüssel Gelöscht : HKLM\SOFTWARE\Software
Schlüssel Gelöscht : HKLM\Software\Winamp Toolbar
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{043C5167-00BB-4324-AF7E-62013FAEDACF}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{043C5167-00BB-4324-AF7E-62013FAEDACF}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16464

Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 --> hxxp://www.google.com

-\\ Mozilla Firefox v3.6.28 (de)

Datei : C:\Users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\sgqvx6q3.default\prefs.js

C:\Users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\sgqvx6q3.default\user.js ... Gelöscht !

Gelöscht : user_pref("CT2613550..clientLogIsEnabled", false);
Gelöscht : user_pref("CT2613550..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Gelöscht : user_pref("CT2613550..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Gelöscht : user_pref("CT2613550.ALLOW_SHOWING_HIDDEN_TOOLBAR", false);
Gelöscht : user_pref("CT2613550.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2613550.CTID", "ct2613550");
Gelöscht : user_pref("CT2613550.CurrentServerDate", "16-4-2012");
Gelöscht : user_pref("CT2613550.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2613550.DialogsGetterLastCheckTime", "Mon Apr 16 2012 09:34:30 GMT+0200");
Gelöscht : user_pref("CT2613550.DownloadReferralCookieData", "");
Gelöscht : user_pref("CT2613550.EMailNotifierPollDate", "Mon Apr 16 2012 09:34:22 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602533", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602539", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602545", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602551", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602557", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602563", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602569", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602575", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602581", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602587", "Sat Mar 26 2011 18:10:26 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602593", "Sat Mar 26 2011 18:10:27 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602599", "Sat Mar 26 2011 18:10:27 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602605", "Sat Mar 26 2011 18:10:27 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602611", "Sat Mar 26 2011 18:10:27 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602617", "Sat Mar 26 2011 18:10:28 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602623", "Sat Mar 26 2011 18:10:28 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602629", "Sat Mar 26 2011 18:10:28 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255190875796966", "Wed Jun 29 2011 21:20:54 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255191286404846", "Wed Jun 29 2011 21:20:54 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255191690696803", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255191830767423", "Wed Jun 29 2011 21:20:54 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255192204641884", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255192330261614", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255192609293799", "Wed Jun 29 2011 21:20:54 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255192844976705", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255193025486845", "Wed Jun 29 2011 21:20:54 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255193127848905", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255193189289837", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255193256322449", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255193310202497", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255193760634970", "Wed Jun 29 2011 21:20:54 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255193813312257", "Wed Jun 29 2011 21:20:54 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255194862513855", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedPollDate7861255194875474195", "Wed Jun 29 2011 21:20:53 GMT+0200");
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602545", 5);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602551", 5);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602575", 2);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602605", 5);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602617", 30);
Gelöscht : user_pref("CT2613550.FeedTTL7861255190875796966", 5);
Gelöscht : user_pref("CT2613550.FeedTTL7861255191286404846", 2);
Gelöscht : user_pref("CT2613550.FeedTTL7861255191830767423", 30);
Gelöscht : user_pref("CT2613550.FeedTTL7861255192609293799", 30);
Gelöscht : user_pref("CT2613550.FeedTTL7861255192844976705", 5);
Gelöscht : user_pref("CT2613550.FeedTTL7861255193256322449", 5);
Gelöscht : user_pref("CT2613550.FeedTTL7861255193310202497", 2);
Gelöscht : user_pref("CT2613550.FirstServerDate", "8-8-2010");
Gelöscht : user_pref("CT2613550.FirstTime", true);
Gelöscht : user_pref("CT2613550.FirstTimeFF3", true);
Gelöscht : user_pref("CT2613550.FirstTimeSettingsDone", true);
Gelöscht : user_pref("CT2613550.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2613550.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2613550.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2613550.HasUserGlobalKeys", true);
Gelöscht : user_pref("CT2613550.Initialize", true);
Gelöscht : user_pref("CT2613550.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2613550.InstallationAndCookieDataSentCount", 3);
Gelöscht : user_pref("CT2613550.InstallationType", "UnknownIntegration");
Gelöscht : user_pref("CT2613550.InstalledDate", "Sun Aug 08 2010 17:12:55 GMT+0200");
Gelöscht : user_pref("CT2613550.IsAlertDBUpdated", true);
Gelöscht : user_pref("CT2613550.IsGrouping", false);
Gelöscht : user_pref("CT2613550.IsMulticommunity", false);
Gelöscht : user_pref("CT2613550.IsOpenThankYouPage", false);
Gelöscht : user_pref("CT2613550.IsOpenUninstallPage", true);
Gelöscht : user_pref("CT2613550.LanguagePackLastCheckTime", "Sun Aug 08 2010 17:13:16 GMT+0200");
Gelöscht : user_pref("CT2613550.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2613550.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2613550.LastLogin_2.6.0.15", "Tue Aug 10 2010 09:05:03 GMT+0200");
Gelöscht : user_pref("CT2613550.LastLogin_2.7.1.3", "Tue Jun 21 2011 16:36:19 GMT+0200");
Gelöscht : user_pref("CT2613550.LastLogin_3.10.0.1", "Mon Apr 16 2012 09:34:24 GMT+0200");
Gelöscht : user_pref("CT2613550.LastLogin_3.3.3.2", "Wed Nov 09 2011 19:14:02 GMT+0100");
Gelöscht : user_pref("CT2613550.LastLogin_3.8.0.8", "Fri Feb 10 2012 08:16:40 GMT+0100");
Gelöscht : user_pref("CT2613550.LatestVersion", "3.10.0.1");
Gelöscht : user_pref("CT2613550.Locale", "de-de");
Gelöscht : user_pref("CT2613550.LoginCache", 4);
Gelöscht : user_pref("CT2613550.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2613550.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2613550.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2613550.MyStuffEnabledAtInstallation", false);
Gelöscht : user_pref("CT2613550.SHRINK_TOOLBAR", 1);
Gelöscht : user_pref("CT2613550.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...]
Gelöscht : user_pref("CT2613550.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2613550.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT261[...]
Gelöscht : user_pref("CT2613550.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2613550.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2613550.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2613550.SearchInNewTabUsageUrl", "hxxp://usage.hosting.toolbar.conduit-services.com/usa[...]
Gelöscht : user_pref("CT2613550.ServiceMapLastCheckTime", "Mon Apr 16 2012 09:34:21 GMT+0200");
Gelöscht : user_pref("CT2613550.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2613550.SettingsLastCheckTime", "Sun Aug 08 2010 17:12:51 GMT+0200");
Gelöscht : user_pref("CT2613550.SettingsLastUpdate", "1281024644");
Gelöscht : user_pref("CT2613550.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2613550.ThirdPartyComponentsLastCheck", "Sun Aug 08 2010 17:12:51 GMT+0200");
Gelöscht : user_pref("CT2613550.ThirdPartyComponentsLastUpdate", "1255348257");
Gelöscht : user_pref("CT2613550.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2613550");
Gelöscht : user_pref("CT2613550.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,clien[...]
Gelöscht : user_pref("CT2613550.UserID", "UN70016989570364749");
Gelöscht : user_pref("CT2613550.ValidationData_Search", 0);
Gelöscht : user_pref("CT2613550.ValidationData_Toolbar", 2);
Gelöscht : user_pref("CT2613550.alertChannelId", "1006347");
Gelöscht : user_pref("CT2613550.clientLogIsEnabled", false);
Gelöscht : user_pref("CT2613550.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Gelöscht : user_pref("CT2613550.components.1000082", false);
Gelöscht : user_pref("CT2613550.components.1000234", false);
Gelöscht : user_pref("CT2613550.ct2613550.AppTrackingLastCheckTime", "Mon Apr 16 2012 09:34:34 GMT+0200");
Gelöscht : user_pref("CT2613550.ct2613550.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2613550.ct2613550.FeedLastCount3082739963941193807", 850);
Gelöscht : user_pref("CT2613550.ct2613550.FirstTimeSettingsDone", true);
Gelöscht : user_pref("CT2613550.ct2613550.LanguagePackLastCheckTime", "Mon Apr 16 2012 09:34:25 GMT+0200");
Gelöscht : user_pref("CT2613550.ct2613550.Locale", "de-de");
Gelöscht : user_pref("CT2613550.ct2613550.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_[...]
Gelöscht : user_pref("CT2613550.ct2613550.SearchInNewTabLastCheckTime", "Mon Apr 16 2012 09:34:24 GMT+0200");
Gelöscht : user_pref("CT2613550.ct2613550.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2613550.ct2613550.SettingsLastCheckTime", "Mon Apr 16 2012 09:34:22 GMT+0200");
Gelöscht : user_pref("CT2613550.ct2613550.SettingsLastUpdate", "1321973076");
Gelöscht : user_pref("CT2613550.ct2613550.ThirdPartyComponentsLastCheck", "Mon Apr 16 2012 09:34:21 GMT+0200");
Gelöscht : user_pref("CT2613550.ct2613550.ThirdPartyComponentsLastUpdate", "1255348257");
Gelöscht : user_pref("CT2613550.ct2613550.globalFirstTimeInfoLastCheckTime", "Mon Apr 16 2012 09:34:26 GMT+0200[...]
Gelöscht : user_pref("CT2613550.ct2613550.toolbarAppMetaDataLastCheckTime", "Mon Apr 16 2012 09:34:23 GMT+0200"[...]
Gelöscht : user_pref("CT2613550.ct2613550.toolbarContextMenuLastCheckTime", "Mon Apr 16 2012 09:34:23 GMT+0200"[...]
Gelöscht : user_pref("CT2613550.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...]
Gelöscht : user_pref("CT2613550.homepageProtectorEnableByLogin", true);
Gelöscht : user_pref("CT2613550.initDone", true);
Gelöscht : user_pref("CT2613550.isAppTrackingManagerOn", true);
Gelöscht : user_pref("CT2613550.myStuffEnabled", true);
Gelöscht : user_pref("CT2613550.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2613550.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2613550.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2613550.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2613550.oldAppsList", "129171076488700693,129171076488856944,111,129171076488856945,129[...]
Gelöscht : user_pref("CT2613550.revertSettingsEnabled", true);
Gelöscht : user_pref("CT2613550.searchProtectorDialogDelayInSec", 10);
Gelöscht : user_pref("CT2613550.searchProtectorEnableByLogin", true);
Gelöscht : user_pref("CT2613550.testingCtid", "");
Gelöscht : user_pref("CT2613550.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Gelöscht : user_pref("CT2613550.usagesFlag", 2);
Gelöscht : user_pref("CommunityToolbar.CantToolbarBeEngineOwner", "CT2613550");
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://Settings.toolbar.search.conduit.com/root/ct2613550/CT2613550[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=ct2613550", [...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.10[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2613550",[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=ct2613550&octid=[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/ct2613550/CT2613550[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/50/261/CT2613550/Images/6340849712463612[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=de-de", "\"[...]
Gelöscht : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Users\\Stefan\\AppData\\Roaming\\Mozilla\\[...]
Gelöscht : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.10.0.1");
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2613550");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2613550");
Gelöscht : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Wed Jun 29 2011 21:21:00 GMT+02[...]
Gelöscht : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.locale", "en");
Gelöscht : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Wed Nov 09 2011 19:13:44 GMT+0100");
Gelöscht : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1313487611");
Gelöscht : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.alert.userId", "c6c2af78-782a-4e20-83aa-0603dfc89594");
Gelöscht : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Mon Apr 16 2012 09:34:23 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.globalUserId", "52550e86-2bbf-49d9-9928-5b4945c798e1");
Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2613550");
Gelöscht : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Mon Apr 09 2012 11:28:0[...]
Gelöscht : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.notifications.locale", "en");
Gelöscht : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Mon Apr 16 2012 09:34:22 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611");
Gelöscht : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.notifications.userId", "30d4248d-516a-4225-8463-2e7d378fd269");
Gelöscht : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Gelöscht : user_pref("browser.search.defaultthis.engineName", "ZoneAlarm-Sicherheit Customized Web Search");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&Sea[...]
Gelöscht : user_pref("browser.search.order.1", "Search the web (Babylon)");
Gelöscht : user_pref("extensions.BabylonToolbar.admin", false);
Gelöscht : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Gelöscht : user_pref("extensions.BabylonToolbar.babExt", "");
Gelöscht : user_pref("extensions.BabylonToolbar.babTrack", "affID=110819&tt=050412_30b");
Gelöscht : user_pref("extensions.BabylonToolbar.bbDpng", 4);
Gelöscht : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Gelöscht : user_pref("extensions.BabylonToolbar.dfltSrch", true);
Gelöscht : user_pref("extensions.BabylonToolbar.hmpg", true);
Gelöscht : user_pref("extensions.BabylonToolbar.id", "00fac8fd0000000000000011679bb461");
Gelöscht : user_pref("extensions.BabylonToolbar.instlDay", "15480");
Gelöscht : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Gelöscht : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://search.babylon.com/?affID=110819&tt=050412[...]
Gelöscht : user_pref("extensions.BabylonToolbar.lastDP", 4);
Gelöscht : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1710:50:05");
Gelöscht : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "3.6");
Gelöscht : user_pref("extensions.BabylonToolbar.newTab", false);
Gelöscht : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?affID=110819&tt=050412_[...]
Gelöscht : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Gelöscht : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Gelöscht : user_pref("extensions.BabylonToolbar.propectorlck", 77367566);
Gelöscht : user_pref("extensions.BabylonToolbar.prtkDS", 1);
Gelöscht : user_pref("extensions.BabylonToolbar.prtkHmpg", 1);
Gelöscht : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Gelöscht : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Gelöscht : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Gelöscht : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Gelöscht : user_pref("extensions.BabylonToolbar.tlbrId", "tb9");
Gelöscht : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
Gelöscht : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1710:50:05");
Gelöscht : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
Gelöscht : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Gelöscht : user_pref("extensions.BabylonToolbar_i.babExt", "");
Gelöscht : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110819&tt=050412_30b");
Gelöscht : user_pref("extensions.BabylonToolbar_i.hardId", "00fac8fd0000000000000011679bb461");
Gelöscht : user_pref("extensions.BabylonToolbar_i.id", "00fac8fd0000000000000011679bb461");
Gelöscht : user_pref("extensions.BabylonToolbar_i.instlDay", "15480");
Gelöscht : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Gelöscht : user_pref("extensions.BabylonToolbar_i.newTab", false);
Gelöscht : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Gelöscht : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Gelöscht : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Gelöscht : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Gelöscht : user_pref("extensions.BabylonToolbar_i.tlbrId", "tb9");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1710:50:05");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Gelöscht : user_pref("extensions.vshare@toolbar.update.enabled", false);

-\\ Google Chrome v24.0.1312.57

Datei : C:\Users\Stefan\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [31432 octets] - [21/02/2013 13:42:26]

########## EOF - C:\AdwCleaner[S1].txt - [31493 octets] ##########
--- --- ---


und weiter mit Combofix:

Combofix Logfile:
Code:
ATTFilter
ComboFix 13-02-21.01 - Stefan 21.02.2013  13:53:05.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3069.1480 [GMT 1:00]
ausgeführt von:: c:\users\Stefan\Desktop\ComboFix.exe
AV: McAfee Anti-Virus und Anti-Spyware *Disabled/Updated* {ADA629C7-7F48-5689-624A-3B76997E0892}
FW: McAfee Firewall *Disabled* {959DA8E2-3527-57D1-4915-924367AD4FE9}
SP: McAfee Anti-Virus und Anti-Spyware *Disabled/Updated* {16C7C823-5972-5907-58FA-0004E2F9422F}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Stefan\AppData\Roaming\inst.exe
c:\windows\IsUn0407.exe
c:\windows\system32\~GLH00c0.TMP
c:\windows\system32\drivers\~GLH0014.TMP
c:\windows\unin0407.exe
.
Infizierte Kopie von c:\windows\system32\ntdll.dll wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-ntdll_31bf3856ad364e35_6.0.6002.18541_none_5a931ff3f973738d\ntdll.dll wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-21 bis 2013-02-21  ))))))))))))))))))))))))))))))
.
.
2074-05-18 16:44 . 2008-03-21 13:46	607296	----a-w-	c:\program files\Microsoft Games\Age of Empires III\deformerdllyD.dll
2013-02-21 13:03 . 2013-02-21 13:08	--------	d-----w-	c:\users\Stefan\AppData\Local\temp
2013-02-21 13:03 . 2013-02-21 13:03	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-02-20 11:05 . 2013-02-20 11:05	--------	d-----w-	C:\FRST
2013-02-14 03:39 . 2013-01-04 01:38	2048512	----a-w-	c:\windows\system32\win32k.sys
2013-02-14 03:39 . 2012-11-08 03:48	1314816	----a-w-	c:\windows\system32\quartz.dll
2013-02-14 03:39 . 2013-01-04 11:28	914792	----a-w-	c:\windows\system32\drivers\tcpip.sys
2013-02-14 03:39 . 2013-01-04 01:55	31232	----a-w-	c:\windows\system32\drivers\tcpipreg.sys
2013-02-14 03:39 . 2013-01-05 05:26	3550072	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-02-14 03:39 . 2013-01-05 05:26	3602808	----a-w-	c:\windows\system32\ntkrnlpa.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-09 11:50 . 2012-04-09 07:57	697712	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-09 11:50 . 2011-05-16 09:42	74096	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-16 13:12 . 2012-12-30 02:00	34304	----a-w-	c:\windows\system32\atmlib.dll
2012-12-16 10:50 . 2012-12-30 02:00	293376	----a-w-	c:\windows\system32\atmfd.dll
2010-10-30 10:42 . 2008-09-27 08:42	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2006-05-03 10:06	163328	--sha-r-	c:\windows\System32\flvDX.dll
2007-02-21 11:47	31232	--sha-r-	c:\windows\System32\msfDX.dll
2008-03-16 13:30	216064	--sha-r-	c:\windows\System32\nbDX.dll
2010-01-06 22:00	107520	--sha-r-	c:\windows\System32\TAKDSDecoder.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-27 39408]
"Creative MediaSource Go"="c:\program files\Creative\MediaSource5\Go\CTCMSGoU.exe" [2006-11-09 204800]
"Spotify Web Helper"="c:\users\Stefan\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2013-01-04 1199576]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"VolPanel"="c:\program files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-12-06 180224]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 81920]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2011-10-26 74752]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 221184]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2012-10-07 514936]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-12-12 152544]
"mcpltui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2012-10-07 514936]
.
c:\users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
BUFFALO NAS Navigator.lnk - c:\program files\BUFFALO\NASNAVI\NasNavi.exe [2009-5-15 1553800]
NAS Scheduler.lnk - c:\program files\BUFFALO\NASNAVI\nassche.exe [2009-12-6 206128]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GOEC62~1.DLL
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^AutoStart IR.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutoStart IR.lnk
backup=c:\windows\pss\AutoStart IR.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Stefan^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^HcwSyncIt.lnk]
path=c:\users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HcwSyncIt.lnk
backup=c:\windows\pss\HcwSyncIt.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTSyncU.exe]
2006-11-23 16:12	851968	------w-	c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
2009-06-03 10:19	25600	----a-w-	c:\windows\System32\Ctxfihlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2007-09-18 14:16	171464	----a-w-	c:\program files\DAEMON Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ECenter]
2007-03-16 10:50	17920	----a-w-	c:\dell\E-Center\EULALauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2006-10-12 13:57	102400	------w-	c:\program files\epson\Creativity Suite\Event Manager\EEventManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPGServiceTool]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
2010-10-30 10:42	30192	----a-w-	c:\program files\Google\Google Desktop Search\GoogleDesktop.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-02-06 16:51	3885408	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBAgent]
2010-04-02 23:27	1234216	----a-w-	c:\program files\Nero\Nero 10\Nero BackItUp\NBAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]
2010-07-02 10:20	671608	----a-w-	c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegClean Expert Scheduler]
2007-07-25 04:01	450808	----a-w-	c:\program files\Registry Clean Expert\RCHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-08-27 17:30	39408	----a-w-	c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-01-05 16:23	185896	----a-w-	c:\program files\Common Files\Real\Update_OB\realsched.exe
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
*Deregistered* - mfeavfk01
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LPDService	REG_MULTI_SZ   	LPDSVC
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
nosGetPlusHelper	REG_MULTI_SZ   	nosGetPlusHelper
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-02-08 13:24	1607120	----a-w-	c:\program files\Google\Chrome\Application\24.0.1312.57\Installer\chrmstp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
2008-06-18 14:04	8192	----a-w-	c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C0E0CF64-F00D-F423-C03E-C52DA0095800}]
2008-01-19 07:33	21504	----a-w-	c:\windows\System32\svchost.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-09 11:51]
.
2013-02-21 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-08-02 06:19]
.
2013-02-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-27 22:13]
.
2013-02-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-27 22:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: &Winamp Toolbar Search - c:\programdata\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth
TCP: Interfaces\{F5A2109B-C59D-410D-A4C2-E5BE6D59C760}: NameServer = 192.168.178.1,192.168.178.2
FF - ProfilePath - c:\users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\sgqvx6q3.default\
FF - prefs.js: browser.search.selectedEngine - Sichere Suche
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=mcafee&p=
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 8118
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 8118
FF - prefs.js: network.proxy.type - 4
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Ext: Ovi maps browser plugin: maps@ovi.com - %profile%\extensions\maps@ovi.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: RefControl: {455D905A-D37C-4643-A9E2-F6FEFAA0424A} - %profile%\extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\program files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension
FF - Ext: McAfee SiteAdvisor: {4ED1F68A-5463-4931-9384-8FFF5ED91D92} - c:\program files\McAfee\SiteAdvisor
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)
WebBrowser-{FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - (no file)
HKCU-Run-sbPopper - c:\program files\MonkeyLicense\sbPopper\sbPopper.exe
HKCU-Run-MobileDocuments - c:\program files\Common Files\Apple\Internet Services\ubd.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-AnyDVD - c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe
MSConfigStartUp-BtTray - c:\program files\IVT Corporation\BlueSoleil\BtTray.exe
MSConfigStartUp-DellSupport - c:\program files\DellSupport\DSAgnt.exe
MSConfigStartUp-DellSupportCenter - c:\program files\Dell Support Center\bin\sprtcmd.exe
MSConfigStartUp-dscactivate - c:\program files\Dell Support Center\gs_agent\custom\dsca.exe
MSConfigStartUp-EverioService - c:\program files\CyberLink\PCM4Everio\EverioService.exe
MSConfigStartUp-NapsterScrobbler - c:\users\Stefan\AppData\Local\Temp\Rar$EX02.569\NapsterScrobbler.exe
MSConfigStartUp-NeroFilterCheck - c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
MSConfigStartUp-Nokia - c:\program files\Nokia\Nokia PC Suite 6\PCSync2.exe
MSConfigStartUp-PC Suite Tray - c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe
MSConfigStartUp-sbPopper - c:\program files\MonkeyLicense\sbPopper\sbPopper.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre1.6.0\bin\jusched.exe
AddRemove-FRITZ!DSL - c:\windows\IsUn0407.exe
AddRemove-LastFM_is1 - c:\program files\Last.fm\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-21 14:08
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2262971432-2027969357-3134466898-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:20,59,10,bd,ac,5b,a4,0b,51,f5,21,ae,f7,57,4d,45,ed,3e,59,ab,11,68,3d,
   34,fb,3b,b0,38,d1,cc,a3,9f,53,77,d7,57,85,da,43,d9,6a,d3,9e,96,1f,65,ab,d0,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50
.
[HKEY_USERS\S-1-5-21-2262971432-2027969357-3134466898-1000\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{233d4482-d58d-4d59-8676-346f9dba6280}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:15000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{294b689e-f136-4107-a481-4d9131633067}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07020054
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{2f3b7ca9-cf90-43b6-bdf1-48cb5bc0afee}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:1b7a795b
"Dhcpv6State"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{c16056d0-d12e-4856-8b23-01b144b2e453}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c001372
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d1ca1351-d9c1-4206-8ee9-4ddcf43e6b73}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0d001167
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{e81da7c4-02d2-469f-b355-c3d1da209355}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0f000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f5a2109b-c59d-410d-a4c2-e5be6d59c760}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c0019d1
"Dhcpv6State"=dword:00000001
"NameServer"=""
"Domain"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(5904)
c:\windows\system32\BsLangInDepRes.dll
c:\windows\system32\Bs2Res.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\Creative\Shared Files\CTAudSvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\FRITZ!DSL\IGDCTRL.EXE
c:\program files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Tobit ClipInc\Server\ClipInc-Server.exe
c:\progra~1\WinTV\EPG Services\System\EPGService.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe
c:\windows\system32\mfevtps.exe
c:\program files\BUFFALO\NASNAVI\nassvc.exe
c:\program files\Nero\Update\NASvc.exe
c:\windows\system32\rundll32.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\McAfee\AMCore\mcshield.exe
c:\program files\Common Files\McAfee\SystemCore\mfefire.exe
c:\program files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\IVT Corporation\BlueSoleil\BsHelpCS.exe
c:\progra~1\McAfee\MSC\McAPExe.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Common Files\McAfee\Platform\mcuicnt.exe
c:\windows\ehome\ehmsas.exe
c:\windows\SYSTEM32\CTXFISPI.EXE
c:\program files\iPod\bin\iPodService.exe
c:\program files\McAfee\MAT\McPvTray.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\progra~1\mcafee.com\agent\McUpdate.exe
c:\progra~1\mcafee.com\agent\McUpdate.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\msfeedssync.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-02-21  14:15:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-02-21 13:14
.
Vor Suchlauf: 22 Verzeichnis(se), 82.615.709.696 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 84.755.873.792 Bytes frei
.
- - End Of File - - 65F59C4E22EE12A8D565DC21DE3C2711
--- --- ---

und zuletzt OTL

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 21.02.2013 14:22:24 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Stefan\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,93 Gb Available Physical Memory | 64,31% Memory free
6,19 Gb Paging File | 5,19 Gb Available in Paging File | 83,89% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 287,96 Gb Total Space | 78,82 Gb Free Space | 27,37% Space Free | Partition Type: NTFS
Drive D: | 10,00 Gb Total Space | 6,13 Gb Free Space | 61,33% Space Free | Partition Type: NTFS
Drive E: | 283,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: STEFAN-PC | User Name: Stefan | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.21 08:07:18 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Stefan\Desktop\OTL.exe
PRC - [2013.01.04 13:41:15 | 001,199,576 | ---- | M] (Spotify Ltd) -- C:\Users\Stefan\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
PRC - [2012.11.09 06:53:22 | 000,167,344 | ---- | M] (McAfee, Inc.) -- C:\Windows\System32\mfevtps.exe
PRC - [2012.11.09 06:50:10 | 000,168,880 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\SystemCore\mfefire.exe
PRC - [2012.10.07 04:02:38 | 000,140,016 | ---- | M] (McAfee, Inc.) -- C:\Program Files\McAfee\MSC\McAPExe.exe
PRC - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe
PRC - [2012.10.07 03:12:36 | 000,252,792 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\Platform\McUICnt.exe
PRC - [2012.10.06 07:28:42 | 000,632,344 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\AMCore\mcshield.exe
PRC - [2012.08.31 12:20:06 | 000,167,784 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe
PRC - [2011.10.26 19:48:48 | 000,074,752 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\Winamp\winampa.exe
PRC - [2011.06.06 11:55:32 | 000,035,736 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Adobe\Reader 10.0\Reader\reader_sl.exe
PRC - [2011.06.06 11:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2010.03.25 13:39:22 | 000,490,280 | ---- | M] (Nero AG) -- C:\Program Files\Nero\Update\NASvc.exe
PRC - [2009.06.04 19:03:32 | 000,186,904 | ---- | M] (Intel Corporation) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
PRC - [2009.06.04 19:03:06 | 000,354,840 | ---- | M] (Intel Corporation) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
PRC - [2009.06.03 11:14:24 | 001,213,440 | ---- | M] (Creative Technology Ltd) -- C:\Windows\System32\CTxfispi.exe
PRC - [2009.05.15 11:36:50 | 000,251,184 | R--- | M] (BUFFALO INC.) -- C:\Program Files\BUFFALO\NASNAVI\nassvc.exe
PRC - [2009.05.15 11:36:48 | 001,553,800 | R--- | M] (BUFFALO INC.) -- C:\Program Files\BUFFALO\NASNAVI\NasNavi.exe
PRC - [2009.05.15 11:36:48 | 000,206,128 | R--- | M] (BUFFALO INC.) -- C:\Program Files\BUFFALO\NASNAVI\nassche.exe
PRC - [2009.04.11 07:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.02.23 10:43:54 | 000,307,200 | ---- | M] (Creative Technology Ltd) -- C:\Program Files\Creative\Shared Files\CTAudSvc.exe
PRC - [2008.11.28 16:50:22 | 002,195,720 | ---- | M] () -- C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe
PRC - [2008.05.23 16:09:35 | 001,155,180 | ---- | M] () -- C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
PRC - [2007.08.17 14:58:08 | 000,057,447 | ---- | M] () -- C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe
PRC - [2006.12.06 18:10:16 | 000,180,224 | ---- | M] (Creative Technology Ltd) -- C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
PRC - [2006.11.28 16:17:38 | 000,361,984 | ---- | M] (Hauppauge Computer Works) -- C:\Program Files\WinTV\EPG Services\System\EPGService.exe
PRC - [2006.11.09 10:19:14 | 000,204,800 | ---- | M] (Creative Technology Ltd) -- C:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe
PRC - [2005.11.21 10:34:24 | 000,081,920 | ---- | M] (AVM Berlin) -- C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.02.20 20:29:04 | 000,087,912 | ---- | M] () -- C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2012.02.20 20:28:42 | 001,242,472 | ---- | M] () -- C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll
MOD - [2009.03.26 13:46:42 | 000,148,480 | ---- | M] () -- C:\Windows\System32\APOMngr.DLL
MOD - [2009.02.06 17:52:24 | 000,073,728 | ---- | M] () -- C:\Windows\System32\CmdRtr.DLL
MOD - [2007.08.17 14:59:14 | 000,528,485 | ---- | M] () -- C:\Windows\System32\BSShell.dll
MOD - [2007.08.17 14:57:54 | 000,077,923 | ---- | M] () -- C:\Windows\System32\Bs2Res.dll
MOD - [2007.07.30 08:32:16 | 016,326,769 | ---- | M] () -- C:\Windows\System32\BsLangInDepRes.dll
MOD - [2007.05.22 09:59:22 | 000,128,512 | ---- | M] () -- C:\Program Files\WinRAR\RarExt.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\SureThing Shared\stllssvr.exe -- (stllssvr)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - File not found [Auto | Stopped] -- C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe -- (IswSvc)
SRV - [2013.02.09 12:51:13 | 000,251,248 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.01.08 12:55:20 | 000,161,536 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.11.22 04:40:54 | 000,279,072 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files\McAfee\VirusScan\mcods.exe -- (McODS)
SRV - [2012.11.09 06:53:22 | 000,167,344 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Windows\System32\mfevtps.exe -- (mfevtp)
SRV - [2012.11.09 06:50:10 | 000,168,880 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe -- (mfefire)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (MSK80Service)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (McProxy)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (mcpltsvc)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (McNaiAnn)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (McMPFSvc)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (HomeNetSvc)
SRV - [2012.10.06 07:28:42 | 000,632,344 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\AMCore\mcshield.exe -- (mfecore)
SRV - [2012.08.31 12:20:06 | 000,167,784 | ---- | M] (McAfee, Inc.) [Disabled | Stopped] -- C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe -- (McOobeSv)
SRV - [2012.08.31 12:20:06 | 000,167,784 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe -- (McAfee SiteAdvisor Service)
SRV - [2011.06.06 11:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011.01.28 11:28:50 | 000,203,080 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- c:\Program Files\McAfee\MSC\McAWFwk.exe -- (McAWFwk)
SRV - [2010.09.01 14:52:56 | 000,066,112 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Program Files\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper)
SRV - [2010.06.14 14:07:14 | 000,615,936 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2010.03.25 13:39:22 | 000,490,280 | ---- | M] (Nero AG) [Auto | Running] -- C:\Program Files\Nero\Update\NASvc.exe -- (NAUpdate)
SRV - [2009.09.04 20:28:01 | 000,079,360 | ---- | M] (Creative Labs) [On_Demand | Stopped] -- C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe -- (Creative Audio Engine Licensing Service)
SRV - [2009.06.04 19:03:06 | 000,354,840 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON)
SRV - [2009.05.15 11:36:50 | 000,251,184 | R--- | M] (BUFFALO INC.) [Auto | Running] -- C:\Program Files\BUFFALO\NASNAVI\nassvc.exe -- (NasPmService)
SRV - [2009.02.23 10:43:54 | 000,307,200 | ---- | M] (Creative Technology Ltd) [Auto | Running] -- C:\Program Files\Creative\Shared Files\CTAudSvc.exe -- (CTAudSvcService)
SRV - [2008.11.28 16:50:22 | 002,195,720 | ---- | M] () [Auto | Running] -- C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe -- (ClipInc001)
SRV - [2008.05.23 16:09:35 | 001,155,180 | ---- | M] () [Auto | Running] -- C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe -- (BlueSoleilCS)
SRV - [2008.01.19 08:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008.01.19 08:34:43 | 000,035,328 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\lpdsvc.dll -- (LPDSVC)
SRV - [2007.08.17 14:58:08 | 000,057,447 | ---- | M] () [On_Demand | Running] -- C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe -- (BsHelpCS)
SRV - [2007.02.20 14:11:28 | 000,815,104 | ---- | M] (Hauppauge Computer Works) [On_Demand | Stopped] -- C:\Program Files\WinTV\HCWTVServer.exe -- (HauppaugeTVServer)
SRV - [2006.11.28 16:17:38 | 000,361,984 | ---- | M] (Hauppauge Computer Works) [Auto | Running] -- C:\Program Files\WinTV\EPG Services\System\EPGService.exe -- (EPGService)
SRV - [2005.11.21 10:34:24 | 000,081,920 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Program Files\FRITZ!DSL\IGDCTRL.EXE -- (AVM IGD CTRL Service)
SRV - [2005.11.21 09:48:06 | 000,315,392 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Program Files\Common Files\AVM\De_serv.exe -- (de_serv)
SRV - [2005.08.02 22:18:49 | 000,086,016 | ---- | M] (CACE Technologies) [On_Demand | Stopped] -- C:\Program Files\WinPcap\rpcapd.exe -- (rpcapd)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\vsdatant.win7.sys -- (vsdatant7)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfusb.sys -- (Tosrfusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tosrfsnd.sys -- (TosRfSnd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfnds.sys -- (tosrfnds)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Tosrfhid.sys -- (Tosrfhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfcom.sys -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfbd.sys -- (Tosrfbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosporte.sys -- (tosporte)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (mfeavfk01)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\CTHWIUT.DLL -- (CTHWIUT.DLL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\CTEXFIFX.DLL -- (CTEXFIFX.DLL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\CT20XUT.DLL -- (CT20XUT.DLL)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btwusb.sys -- (BTWUSB)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2012.11.09 06:56:16 | 000,060,480 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\cfwids.sys -- (cfwids)
DRV - [2012.11.09 06:53:32 | 000,210,136 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\mfewfpk.sys -- (mfewfpk)
DRV - [2012.11.09 06:51:12 | 000,565,352 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2012.11.09 06:50:20 | 000,362,640 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfefirek.sys -- (mfefirek)
DRV - [2012.11.09 06:50:00 | 000,065,488 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2012.11.09 06:49:40 | 000,234,824 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2012.11.09 06:49:10 | 000,132,912 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2012.11.02 01:46:50 | 000,252,200 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfencbdc.sys -- (mfencbdc)
DRV - [2012.11.02 01:46:50 | 000,081,456 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfencrk.sys -- (mfencrk)
DRV - [2012.10.19 09:51:44 | 000,065,856 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\McPvDrv.sys -- (McPvDrv)
DRV - [2012.05.28 10:28:04 | 000,147,472 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\HipShieldK.sys -- (HipShieldK)
DRV - [2012.01.03 16:28:54 | 000,039,016 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\tbhsd.sys -- (tbhsd)
DRV - [2012.01.03 16:28:47 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rrnetcap.sys -- (RRNetCapMP)
DRV - [2012.01.03 16:28:47 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rrnetcap.sys -- (RRNetCap)
DRV - [2010.04.03 21:55:32 | 011,573,800 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2010.02.26 13:32:58 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2010.02.26 13:32:46 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2010.02.26 13:32:44 | 000,022,528 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2010.02.26 13:32:44 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2010.02.26 13:21:22 | 000,137,344 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2010.02.26 13:21:22 | 000,008,320 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2009.06.03 13:27:56 | 001,177,624 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ha20x2k.sys -- (ha20x2k)
DRV - [2009.06.03 13:27:44 | 000,095,768 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\emupia2k.sys -- (emupia)
DRV - [2009.06.03 13:27:34 | 000,158,744 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctsfm2k.sys -- (ctsfm2k)
DRV - [2009.06.03 13:27:26 | 000,014,360 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctprxy2k.sys -- (ctprxy2k)
DRV - [2009.06.03 13:27:20 | 000,130,072 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctoss2k.sys -- (ossrv)
DRV - [2009.06.03 13:27:00 | 000,527,512 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctaud2k.sys -- (ctaud2k)
DRV - [2009.06.03 13:26:50 | 000,511,000 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctac32k.sys -- (ctac32k)
DRV - [2009.06.03 13:26:40 | 001,324,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CTEXFIFX.sys -- (CTEXFIFX.SYS)
DRV - [2009.06.03 13:26:40 | 001,324,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CTEXFIFX.sys -- (CTEXFIFX)
DRV - [2009.06.03 13:26:26 | 000,072,728 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CTHWIUT.sys -- (CTHWIUT.SYS)
DRV - [2009.06.03 13:26:26 | 000,072,728 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CTHWIUT.sys -- (CTHWIUT)
DRV - [2009.06.03 13:26:16 | 000,171,032 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CT20XUT.sys -- (CT20XUT.SYS)
DRV - [2009.06.03 13:26:16 | 000,171,032 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CT20XUT.sys -- (CT20XUT)
DRV - [2009.05.11 08:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.18 16:35:40 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\hamachi.sys -- (hamachi)
DRV - [2009.02.19 09:54:48 | 001,222,680 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ha20x22k.sys -- (ha20x22k)
DRV - [2008.11.16 12:36:32 | 000,101,248 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\avmaura.sys -- (avmaura)
DRV - [2008.08.26 09:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.05.23 16:09:35 | 000,034,312 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\blueletaudio.sys -- (BlueletAudio)
DRV - [2008.01.19 05:25:05 | 000,220,672 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\e1e6032.sys -- (e1express)
DRV - [2007.09.08 12:53:51 | 000,685,816 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2007.06.24 20:56:54 | 000,038,920 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\btcusb.sys -- (Btcsrusb)
DRV - [2007.06.24 20:56:40 | 000,027,656 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - [2007.04.04 19:48:18 | 000,015,488 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\hcw95rc.sys -- (hcw95rc)
DRV - [2007.04.04 19:45:52 | 000,467,456 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\hcw95bda.sys -- (hcw95bda)
DRV - [2007.03.05 19:59:04 | 000,018,320 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\btnetdrv.sys -- (BT)
DRV - [2007.03.05 19:56:18 | 000,035,600 | ---- | M] (IVT Corporation.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\BtHidMgr.sys -- (BTHidMgr)
DRV - [2007.03.05 19:55:12 | 000,020,880 | ---- | M] (IVT Corporation.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\VBTEnum.sys -- (BTHidEnum)
DRV - [2007.03.05 19:53:18 | 000,044,304 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\VCommMgr.sys -- (VcommMgr)
DRV - [2007.03.05 19:52:18 | 000,034,448 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\VComm.sys -- (VComm)
DRV - [2006.11.02 08:36:43 | 002,028,032 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\atikmdag.sys -- (R300)
DRV - [2005.08.02 22:10:13 | 000,032,512 | ---- | M] (CACE Technologies) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\npf.sys -- (NPF)
DRV - [2005.02.23 13:58:56 | 000,011,776 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\afc.sys -- (Afc)
DRV - [2004.07.13 10:40:22 | 000,048,512 | ---- | M] (C-Media Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Umss.SYS -- (UMSSSTOR)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7DADE
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\SearchScopes\{52B13E22-1966-425E-951F-B7A1B9482E70}: "URL" = hxxp://de.search.yahoo.com/search?fr=mcafee&p={SearchTerms}
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Sichere Suche"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.2
FF - prefs.js..extensions.enabledItems: {455D905A-D37C-4643-A9E2-F6FEFAA0424A}:0.8.16
FF - prefs.js..extensions.enabledItems: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}:7.3.3.42
FF - prefs.js..extensions.enabledItems: maps@ovi.com:4.0.12.12
FF - prefs.js..extensions.enabledItems: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}:3.10.0.1
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.91
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.9.11
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}:6.0.31
FF - prefs.js..extensions.enabledItems: {4ED1F68A-5463-4931-9384-8FFF5ED91D92}:3.6.0
FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?fr=mcafee&p="
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 8118
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 8118
FF - prefs.js..network.proxy.type: 4
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_149.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll File not found
FF - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL ()
FF - HKLM\Software\MozillaPlugins\@mcafee.com/SAFFPlugin: C:\Program Files\McAfee\SiteAdvisor\npmcffplg32.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8064.0206: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.3088: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.3146: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.11.3006: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}: C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\ [2010.08.28 11:48:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{4ED1F68A-5463-4931-9384-8FFF5ED91D92}: C:\Program Files\McAfee\SiteAdvisor [2013.02.13 10:12:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.28\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.11.04 14:36:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.28\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.11.04 14:36:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}: C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension\ [2010.08.28 11:48:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK [2013.01.19 14:48:36 | 000,000,000 | ---D | M]
 
[2009.03.15 12:52:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Stefan\AppData\Roaming\mozilla\Extensions
[2013.02.21 13:42:39 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions
[2010.05.21 08:04:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012.04.16 08:34:13 | 000,000,000 | ---D | M] (RefControl) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}
[2012.12.09 16:14:01 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.12.09 16:13:59 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2010.10.22 18:11:10 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.11.20 01:37:20 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\de-DE@dictionaries.addons.mozilla.org
[2010.06.18 18:03:14 | 000,000,000 | ---D | M] (Ovi maps browser plugin) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\maps@ovi.com
[2012.02.25 09:10:11 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010.11.01 11:29:32 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.27 19:06:17 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.24 19:44:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2012.02.25 09:10:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
[2008.01.24 21:18:27 | 000,000,000 | ---D | M] ("Torbutton") -- C:\Program Files\Mozilla Firefox\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
[2013.02.13 10:12:25 | 000,000,000 | ---D | M] (McAfee SiteAdvisor) -- C:\PROGRAM FILES\MCAFEE\SITEADVISOR
[2010.08.28 11:48:20 | 000,000,000 | ---D | M] (Firefox Synchronisation Extension) -- C:\PROGRAM FILES\NOKIA\NOKIA OVI SUITE\CONNECTORS\BOOKMARKS CONNECTOR\FIREFOXEXTENSION
File not found (No name found) -- C:\USERS\STEFAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SGQVX6Q3.DEFAULT\EXTENSIONS\{FC2B76FC-2132-4D80-A9A3-1F5C6E49066B}
[2011.10.26 19:49:56 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\mozilla firefox\plugins\npwachk.dll
[2012.11.04 14:36:13 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.11.04 14:36:13 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.11.04 14:36:14 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.02.20 08:31:34 | 000,002,027 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\McSiteAdvisor.xml
[2012.11.04 14:36:14 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.11.04 14:36:14 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider:  ()
CHR - default_search_provider: search_url = 
CHR - default_search_provider: suggest_url = 
CHR - homepage: hxxp://start.facemoods.com/?a=ddrnw
 
O1 HOSTS File: ([2013.02.21 14:08:16 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll File not found
O2 - BHO: (no name) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - No CLSID value found.
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll (Dell Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll File not found
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O3 - HKLM\..\Toolbar: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - No CLSID value found.
O3 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [mcpltui_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [mcui_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [UpdReg] C:\Windows\Updreg.EXE (Creative Technology Ltd.)
O4 - HKLM..\Run: [VolPanel] C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe (Creative Technology Ltd)
O4 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000..\Run: [Spotify Web Helper] C:\Users\Stefan\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)
O4 - Startup: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BUFFALO NAS Navigator.lnk = C:\Program Files\BUFFALO\NASNAVI\NasNavi.exe (BUFFALO INC.)
O4 - Startup: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NAS Scheduler.lnk = C:\Program Files\BUFFALO\NASNAVI\nassche.exe (BUFFALO INC.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun =  [binary data]
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun =  [binary data]
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: &Winamp Toolbar Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html File not found
O8 - Extra context menu item: Senden an &Bluetooth - Reg Error: Value error. File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..Trusted Domains: fritz.repeater ([]* in Lokales Intranet)
O15 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..Trusted Domains: localhost ([]http in Lokales Intranet)
O15 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..Trusted Ranges: GD ([http] in Lokales Intranet)
O15 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.9.2)
O16 - DPF: {A3256902-51FA-45A0-8A97-FC1143C169D9} hxxp://support.microsoft.com/mats/DiagWebControl.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.9.2)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F5A2109B-C59D-410D-A4C2-E5BE6D59C760}: NameServer = 192.168.178.1,192.168.178.2
O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\application/x-mfe-ipt {3EF5086B-5478-4598-A054-786C45D75692} - c:\Program Files\McAfee\MSC\McSnIePl.dll (McAfee, Inc.)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\dellwall1.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\dellwall1.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.21 14:15:09 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013.02.21 14:08:20 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN
[2013.02.21 14:03:00 | 000,000,000 | ---D | C] -- C:\Users\Stefan\AppData\Local\temp
[2013.02.21 13:49:58 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.02.21 13:49:58 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.02.21 13:49:58 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.02.21 13:49:25 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.02.21 13:49:03 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.02.21 13:48:23 | 005,034,370 | R--- | C] (Swearware) -- C:\Users\Stefan\Desktop\ComboFix.exe
[2013.02.21 08:07:15 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Stefan\Desktop\OTL.exe
[2013.02.20 12:05:55 | 000,000,000 | ---D | C] -- C:\FRST
[2013.02.20 08:44:24 | 000,000,000 | ---D | C] -- C:\Users\Stefan\Local Settings
[2009.02.14 20:15:22 | 000,047,360 | ---- | C] (VSO Software) -- C:\Users\Stefan\AppData\Roaming\pcouffin.sys
[2007.08.09 15:50:38 | 000,016,384 | ---- | C] (Microsoft Corporation) -- C:\Users\Stefan\AppData\Local\stdole.dll
[8 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.21 14:26:36 | 000,001,713 | ---- | M] () -- C:\Users\Public\Desktop\McAfee Total Protection.lnk
[2013.02.21 14:21:54 | 000,034,997 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2013.02.21 14:21:53 | 000,034,997 | ---- | M] () -- C:\ProgramData\nvModes.001
[2013.02.21 14:21:44 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.21 14:17:57 | 000,004,334 | ---- | M] () -- C:\Windows\System32\LOCALSERVICE.INI
[2013.02.21 14:17:54 | 000,000,972 | ---- | M] () -- C:\Windows\System32\bscs.ini
[2013.02.21 14:17:46 | 000,003,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.21 14:17:46 | 000,003,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.21 14:17:40 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.21 14:16:58 | 000,055,468 | ---- | M] () -- C:\Windows\System32\BMXStateBkp-{00000004-00000000-00000004-00001102-00000005-60021102}.rfx
[2013.02.21 14:16:58 | 000,055,468 | ---- | M] () -- C:\Windows\System32\BMXState-{00000004-00000000-00000004-00001102-00000005-60021102}.rfx
[2013.02.21 14:16:58 | 000,000,788 | ---- | M] () -- C:\Windows\System32\DVCState-{00000004-00000000-00000004-00001102-00000005-60021102}.rfx
[2013.02.21 14:08:16 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2013.02.21 13:49:15 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.02.21 13:48:38 | 005,034,370 | R--- | M] (Swearware) -- C:\Users\Stefan\Desktop\ComboFix.exe
[2013.02.21 13:41:45 | 000,587,671 | ---- | M] () -- C:\Users\Stefan\Desktop\adwcleaner0.exe
[2013.02.21 13:29:01 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.21 11:42:00 | 000,001,022 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2013.02.21 08:07:18 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Stefan\Desktop\OTL.exe
[2013.02.20 14:54:51 | 000,628,742 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.02.20 14:54:51 | 000,596,036 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.02.20 14:54:51 | 000,126,292 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.02.20 14:54:51 | 000,104,110 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.02.20 14:16:14 | 309,772,587 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.02.20 13:25:19 | 000,374,784 | ---- | M] () -- C:\Users\Stefan\Desktop\99bsfs37.exe
[2013.02.20 13:18:14 | 000,000,020 | ---- | M] () -- C:\Users\Stefan\defogger_reenable
[2013.02.20 13:17:17 | 000,050,477 | ---- | M] () -- C:\Users\Stefan\Desktop\Defogger.exe
[2013.02.15 03:31:28 | 000,308,856 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.02.08 14:28:26 | 000,001,933 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[8 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.21 13:49:58 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.02.21 13:49:58 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.02.21 13:49:58 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013.02.21 13:49:58 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013.02.21 13:49:58 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2013.02.21 13:41:38 | 000,587,671 | ---- | C] () -- C:\Users\Stefan\Desktop\adwcleaner0.exe
[2013.02.20 13:25:16 | 000,374,784 | ---- | C] () -- C:\Users\Stefan\Desktop\99bsfs37.exe
[2013.02.20 13:17:44 | 000,000,020 | ---- | C] () -- C:\Users\Stefan\defogger_reenable
[2013.02.20 13:17:17 | 000,050,477 | ---- | C] () -- C:\Users\Stefan\Desktop\Defogger.exe
[2012.10.28 12:41:30 | 000,000,229 | ---- | C] () -- C:\Users\Stefan\cvdm.err
[2012.08.19 20:47:26 | 007,411,200 | ---- | C] () -- C:\Users\Stefan\DesktopNapsterRienfRepair_119.msi
[2012.07.07 12:09:39 | 000,000,762 | ---- | C] () -- C:\Windows\Edofma.INI
[2012.04.22 10:23:49 | 000,021,840 | ---- | C] () -- C:\Windows\System32\SIntfNT.dll
[2012.04.22 10:23:49 | 000,017,212 | ---- | C] () -- C:\Windows\System32\SIntf32.dll
[2012.04.22 10:23:49 | 000,012,067 | ---- | C] () -- C:\Windows\System32\SIntf16.dll
[2012.04.22 10:21:18 | 000,016,931 | ---- | C] () -- C:\Windows\DIIUnin.dat
[2012.04.16 09:39:37 | 000,107,520 | RHS- | C] () -- C:\Windows\System32\TAKDSDecoder.dll
[2011.08.15 15:08:32 | 000,000,218 | ---- | C] () -- C:\Windows\SIERRA.INI
[2011.04.09 17:55:28 | 000,179,261 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat
[2011.02.23 19:07:39 | 001,725,701 | ---- | C] () -- C:\Users\Stefan\pbas.rar
[2010.12.21 16:51:24 | 000,009,982 | -HS- | C] () -- C:\Users\Stefan\Folder.jpg
[2010.12.21 16:51:24 | 000,002,369 | -HS- | C] () -- C:\Users\Stefan\AlbumArtSmall.jpg
[2010.08.08 16:09:45 | 000,000,218 | ---- | C] () -- C:\Users\Stefan\.recently-used.xbel
[2010.05.13 13:53:17 | 000,034,997 | ---- | C] () -- C:\ProgramData\nvModes.001
[2010.05.11 22:32:42 | 000,034,997 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2010.01.25 23:04:08 | 000,000,104 | ---- | C] () -- C:\Users\Stefan\Computer - Verknüpfung.lnk
[2009.09.01 17:46:25 | 000,000,680 | ---- | C] () -- C:\Users\Stefan\AppData\Local\d3d9caps.dat
[2009.02.14 20:15:22 | 000,007,887 | ---- | C] () -- C:\Users\Stefan\AppData\Roaming\pcouffin.cat
[2009.02.14 20:15:22 | 000,001,144 | ---- | C] () -- C:\Users\Stefan\AppData\Roaming\pcouffin.inf
[2009.01.05 11:41:10 | 000,544,768 | ---- | C] () -- C:\Users\Stefan\AppData\Local\filesync.metadata
[2008.01.25 11:47:00 | 000,217,088 | ---- | C] ( ) -- C:\Users\Stefan\AppData\Local\Interop.Microsoft.Office.Core.dll
[2008.01.15 20:05:08 | 000,000,081 | -HS- | C] () -- C:\ProgramData\.zreglib
[2007.12.18 22:22:02 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2007.09.09 17:19:57 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2007.08.06 20:24:23 | 000,000,452 | ---- | C] () -- C:\Users\Stefan\AppData\Roaming\wklnhst.dat
[2007.07.31 20:35:04 | 000,209,920 | ---- | C] () -- C:\Users\Stefan\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2010.08.09 21:54:34 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Amazon
[2012.04.16 09:14:57 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\AnvSoft
[2008.08.29 19:25:22 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\bhv-Edu
[2009.01.12 22:03:45 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Bioshock
[2010.08.08 13:32:12 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\CheckPoint
[2012.03.28 20:33:43 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\com.Rhapsody.Napster5
[2008.01.20 20:42:15 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Cuttermaran
[2011.10.03 09:40:13 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\DVDFab
[2012.07.15 10:07:09 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\DVDVideoSoft
[2008.06.05 21:47:36 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\EPSON
[2011.08.20 13:41:14 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\FarmingSimulator2008
[2009.06.17 11:03:49 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\GetRight
[2010.08.08 16:09:38 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\gtk-2.0
[2012.04.16 13:05:24 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\HandBrake
[2007.12.19 22:34:57 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\iExpert Software
[2008.02.22 10:24:05 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\iolo
[2009.12.06 21:58:27 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\JAM Software
[2008.10.21 20:10:02 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Leadertech
[2009.03.15 12:46:43 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\NapsterScrobbler
[2009.12.06 16:42:36 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\NASNaviator2
[2010.08.29 16:56:16 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Nokia
[2010.08.29 16:56:18 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Nokia Ovi Suite
[2013.01.04 10:14:40 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\OpenArena
[2010.06.10 19:53:52 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\PC Suite
[2010.12.11 20:55:40 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\PCDr
[2008.10.26 16:41:25 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\RipIt4Me
[2010.08.08 16:05:58 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\spek
[2010.07.10 15:50:01 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Spesoft Audio Converter
[2013.01.04 13:50:48 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Spotify
[2011.06.13 17:50:53 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Sync App Settings
[2007.09.22 14:06:57 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Template
[2009.03.07 08:43:05 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Tobit
[2009.02.14 20:16:15 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Vso
[2008.09.30 14:41:52 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\WEBDE
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\NHL08:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\My Games:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\KONAMI:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\FIFA 08:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\EA Games:Roxio EMC Stream

< End of report >
--- --- ---

Alt 21.02.2013, 14:36   #13
derstef66
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


und zuletzt OTL

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 21.02.2013 14:22:24 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Stefan\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,93 Gb Available Physical Memory | 64,31% Memory free
6,19 Gb Paging File | 5,19 Gb Available in Paging File | 83,89% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 287,96 Gb Total Space | 78,82 Gb Free Space | 27,37% Space Free | Partition Type: NTFS
Drive D: | 10,00 Gb Total Space | 6,13 Gb Free Space | 61,33% Space Free | Partition Type: NTFS
Drive E: | 283,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: STEFAN-PC | User Name: Stefan | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.21 08:07:18 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Stefan\Desktop\OTL.exe
PRC - [2013.01.04 13:41:15 | 001,199,576 | ---- | M] (Spotify Ltd) -- C:\Users\Stefan\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
PRC - [2012.11.09 06:53:22 | 000,167,344 | ---- | M] (McAfee, Inc.) -- C:\Windows\System32\mfevtps.exe
PRC - [2012.11.09 06:50:10 | 000,168,880 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\SystemCore\mfefire.exe
PRC - [2012.10.07 04:02:38 | 000,140,016 | ---- | M] (McAfee, Inc.) -- C:\Program Files\McAfee\MSC\McAPExe.exe
PRC - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe
PRC - [2012.10.07 03:12:36 | 000,252,792 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\Platform\McUICnt.exe
PRC - [2012.10.06 07:28:42 | 000,632,344 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\AMCore\mcshield.exe
PRC - [2012.08.31 12:20:06 | 000,167,784 | ---- | M] (McAfee, Inc.) -- C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe
PRC - [2011.10.26 19:48:48 | 000,074,752 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\Winamp\winampa.exe
PRC - [2011.06.06 11:55:32 | 000,035,736 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Adobe\Reader 10.0\Reader\reader_sl.exe
PRC - [2011.06.06 11:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2010.03.25 13:39:22 | 000,490,280 | ---- | M] (Nero AG) -- C:\Program Files\Nero\Update\NASvc.exe
PRC - [2009.06.04 19:03:32 | 000,186,904 | ---- | M] (Intel Corporation) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
PRC - [2009.06.04 19:03:06 | 000,354,840 | ---- | M] (Intel Corporation) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
PRC - [2009.06.03 11:14:24 | 001,213,440 | ---- | M] (Creative Technology Ltd) -- C:\Windows\System32\CTxfispi.exe
PRC - [2009.05.15 11:36:50 | 000,251,184 | R--- | M] (BUFFALO INC.) -- C:\Program Files\BUFFALO\NASNAVI\nassvc.exe
PRC - [2009.05.15 11:36:48 | 001,553,800 | R--- | M] (BUFFALO INC.) -- C:\Program Files\BUFFALO\NASNAVI\NasNavi.exe
PRC - [2009.05.15 11:36:48 | 000,206,128 | R--- | M] (BUFFALO INC.) -- C:\Program Files\BUFFALO\NASNAVI\nassche.exe
PRC - [2009.04.11 07:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.02.23 10:43:54 | 000,307,200 | ---- | M] (Creative Technology Ltd) -- C:\Program Files\Creative\Shared Files\CTAudSvc.exe
PRC - [2008.11.28 16:50:22 | 002,195,720 | ---- | M] () -- C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe
PRC - [2008.05.23 16:09:35 | 001,155,180 | ---- | M] () -- C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
PRC - [2007.08.17 14:58:08 | 000,057,447 | ---- | M] () -- C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe
PRC - [2006.12.06 18:10:16 | 000,180,224 | ---- | M] (Creative Technology Ltd) -- C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
PRC - [2006.11.28 16:17:38 | 000,361,984 | ---- | M] (Hauppauge Computer Works) -- C:\Program Files\WinTV\EPG Services\System\EPGService.exe
PRC - [2006.11.09 10:19:14 | 000,204,800 | ---- | M] (Creative Technology Ltd) -- C:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe
PRC - [2005.11.21 10:34:24 | 000,081,920 | ---- | M] (AVM Berlin) -- C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.02.20 20:29:04 | 000,087,912 | ---- | M] () -- C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2012.02.20 20:28:42 | 001,242,472 | ---- | M] () -- C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll
MOD - [2009.03.26 13:46:42 | 000,148,480 | ---- | M] () -- C:\Windows\System32\APOMngr.DLL
MOD - [2009.02.06 17:52:24 | 000,073,728 | ---- | M] () -- C:\Windows\System32\CmdRtr.DLL
MOD - [2007.08.17 14:59:14 | 000,528,485 | ---- | M] () -- C:\Windows\System32\BSShell.dll
MOD - [2007.08.17 14:57:54 | 000,077,923 | ---- | M] () -- C:\Windows\System32\Bs2Res.dll
MOD - [2007.07.30 08:32:16 | 016,326,769 | ---- | M] () -- C:\Windows\System32\BsLangInDepRes.dll
MOD - [2007.05.22 09:59:22 | 000,128,512 | ---- | M] () -- C:\Program Files\WinRAR\RarExt.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\SureThing Shared\stllssvr.exe -- (stllssvr)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - File not found [Auto | Stopped] -- C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe -- (IswSvc)
SRV - [2013.02.09 12:51:13 | 000,251,248 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.01.08 12:55:20 | 000,161,536 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.11.22 04:40:54 | 000,279,072 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files\McAfee\VirusScan\mcods.exe -- (McODS)
SRV - [2012.11.09 06:53:22 | 000,167,344 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Windows\System32\mfevtps.exe -- (mfevtp)
SRV - [2012.11.09 06:50:10 | 000,168,880 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe -- (mfefire)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (MSK80Service)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (McProxy)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (mcpltsvc)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (McNaiAnn)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (McMPFSvc)
SRV - [2012.10.07 03:13:42 | 000,184,288 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\Platform\McSvcHost\McSvHost.exe -- (HomeNetSvc)
SRV - [2012.10.06 07:28:42 | 000,632,344 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\AMCore\mcshield.exe -- (mfecore)
SRV - [2012.08.31 12:20:06 | 000,167,784 | ---- | M] (McAfee, Inc.) [Disabled | Stopped] -- C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe -- (McOobeSv)
SRV - [2012.08.31 12:20:06 | 000,167,784 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe -- (McAfee SiteAdvisor Service)
SRV - [2011.06.06 11:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011.01.28 11:28:50 | 000,203,080 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- c:\Program Files\McAfee\MSC\McAWFwk.exe -- (McAWFwk)
SRV - [2010.09.01 14:52:56 | 000,066,112 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Program Files\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper)
SRV - [2010.06.14 14:07:14 | 000,615,936 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2010.03.25 13:39:22 | 000,490,280 | ---- | M] (Nero AG) [Auto | Running] -- C:\Program Files\Nero\Update\NASvc.exe -- (NAUpdate)
SRV - [2009.09.04 20:28:01 | 000,079,360 | ---- | M] (Creative Labs) [On_Demand | Stopped] -- C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe -- (Creative Audio Engine Licensing Service)
SRV - [2009.06.04 19:03:06 | 000,354,840 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON)
SRV - [2009.05.15 11:36:50 | 000,251,184 | R--- | M] (BUFFALO INC.) [Auto | Running] -- C:\Program Files\BUFFALO\NASNAVI\nassvc.exe -- (NasPmService)
SRV - [2009.02.23 10:43:54 | 000,307,200 | ---- | M] (Creative Technology Ltd) [Auto | Running] -- C:\Program Files\Creative\Shared Files\CTAudSvc.exe -- (CTAudSvcService)
SRV - [2008.11.28 16:50:22 | 002,195,720 | ---- | M] () [Auto | Running] -- C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe -- (ClipInc001)
SRV - [2008.05.23 16:09:35 | 001,155,180 | ---- | M] () [Auto | Running] -- C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe -- (BlueSoleilCS)
SRV - [2008.01.19 08:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008.01.19 08:34:43 | 000,035,328 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\lpdsvc.dll -- (LPDSVC)
SRV - [2007.08.17 14:58:08 | 000,057,447 | ---- | M] () [On_Demand | Running] -- C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe -- (BsHelpCS)
SRV - [2007.02.20 14:11:28 | 000,815,104 | ---- | M] (Hauppauge Computer Works) [On_Demand | Stopped] -- C:\Program Files\WinTV\HCWTVServer.exe -- (HauppaugeTVServer)
SRV - [2006.11.28 16:17:38 | 000,361,984 | ---- | M] (Hauppauge Computer Works) [Auto | Running] -- C:\Program Files\WinTV\EPG Services\System\EPGService.exe -- (EPGService)
SRV - [2005.11.21 10:34:24 | 000,081,920 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Program Files\FRITZ!DSL\IGDCTRL.EXE -- (AVM IGD CTRL Service)
SRV - [2005.11.21 09:48:06 | 000,315,392 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Program Files\Common Files\AVM\De_serv.exe -- (de_serv)
SRV - [2005.08.02 22:18:49 | 000,086,016 | ---- | M] (CACE Technologies) [On_Demand | Stopped] -- C:\Program Files\WinPcap\rpcapd.exe -- (rpcapd)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\vsdatant.win7.sys -- (vsdatant7)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfusb.sys -- (Tosrfusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tosrfsnd.sys -- (TosRfSnd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfnds.sys -- (tosrfnds)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Tosrfhid.sys -- (Tosrfhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfcom.sys -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfbd.sys -- (Tosrfbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosporte.sys -- (tosporte)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (mfeavfk01)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\CTHWIUT.DLL -- (CTHWIUT.DLL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\CTEXFIFX.DLL -- (CTEXFIFX.DLL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\CT20XUT.DLL -- (CT20XUT.DLL)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btwusb.sys -- (BTWUSB)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2012.11.09 06:56:16 | 000,060,480 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\cfwids.sys -- (cfwids)
DRV - [2012.11.09 06:53:32 | 000,210,136 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\mfewfpk.sys -- (mfewfpk)
DRV - [2012.11.09 06:51:12 | 000,565,352 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2012.11.09 06:50:20 | 000,362,640 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfefirek.sys -- (mfefirek)
DRV - [2012.11.09 06:50:00 | 000,065,488 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2012.11.09 06:49:40 | 000,234,824 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2012.11.09 06:49:10 | 000,132,912 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2012.11.02 01:46:50 | 000,252,200 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mfencbdc.sys -- (mfencbdc)
DRV - [2012.11.02 01:46:50 | 000,081,456 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfencrk.sys -- (mfencrk)
DRV - [2012.10.19 09:51:44 | 000,065,856 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\McPvDrv.sys -- (McPvDrv)
DRV - [2012.05.28 10:28:04 | 000,147,472 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\HipShieldK.sys -- (HipShieldK)
DRV - [2012.01.03 16:28:54 | 000,039,016 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\tbhsd.sys -- (tbhsd)
DRV - [2012.01.03 16:28:47 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rrnetcap.sys -- (RRNetCapMP)
DRV - [2012.01.03 16:28:47 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rrnetcap.sys -- (RRNetCap)
DRV - [2010.04.03 21:55:32 | 011,573,800 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2010.02.26 13:32:58 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2010.02.26 13:32:46 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2010.02.26 13:32:44 | 000,022,528 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2010.02.26 13:32:44 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2010.02.26 13:21:22 | 000,137,344 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2010.02.26 13:21:22 | 000,008,320 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2009.06.03 13:27:56 | 001,177,624 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ha20x2k.sys -- (ha20x2k)
DRV - [2009.06.03 13:27:44 | 000,095,768 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\emupia2k.sys -- (emupia)
DRV - [2009.06.03 13:27:34 | 000,158,744 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctsfm2k.sys -- (ctsfm2k)
DRV - [2009.06.03 13:27:26 | 000,014,360 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctprxy2k.sys -- (ctprxy2k)
DRV - [2009.06.03 13:27:20 | 000,130,072 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctoss2k.sys -- (ossrv)
DRV - [2009.06.03 13:27:00 | 000,527,512 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctaud2k.sys -- (ctaud2k)
DRV - [2009.06.03 13:26:50 | 000,511,000 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ctac32k.sys -- (ctac32k)
DRV - [2009.06.03 13:26:40 | 001,324,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CTEXFIFX.sys -- (CTEXFIFX.SYS)
DRV - [2009.06.03 13:26:40 | 001,324,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CTEXFIFX.sys -- (CTEXFIFX)
DRV - [2009.06.03 13:26:26 | 000,072,728 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CTHWIUT.sys -- (CTHWIUT.SYS)
DRV - [2009.06.03 13:26:26 | 000,072,728 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CTHWIUT.sys -- (CTHWIUT)
DRV - [2009.06.03 13:26:16 | 000,171,032 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CT20XUT.sys -- (CT20XUT.SYS)
DRV - [2009.06.03 13:26:16 | 000,171,032 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CT20XUT.sys -- (CT20XUT)
DRV - [2009.05.11 08:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.18 16:35:40 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\hamachi.sys -- (hamachi)
DRV - [2009.02.19 09:54:48 | 001,222,680 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ha20x22k.sys -- (ha20x22k)
DRV - [2008.11.16 12:36:32 | 000,101,248 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\avmaura.sys -- (avmaura)
DRV - [2008.08.26 09:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.05.23 16:09:35 | 000,034,312 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\blueletaudio.sys -- (BlueletAudio)
DRV - [2008.01.19 05:25:05 | 000,220,672 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\e1e6032.sys -- (e1express)
DRV - [2007.09.08 12:53:51 | 000,685,816 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2007.06.24 20:56:54 | 000,038,920 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\btcusb.sys -- (Btcsrusb)
DRV - [2007.06.24 20:56:40 | 000,027,656 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - [2007.04.04 19:48:18 | 000,015,488 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\hcw95rc.sys -- (hcw95rc)
DRV - [2007.04.04 19:45:52 | 000,467,456 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\hcw95bda.sys -- (hcw95bda)
DRV - [2007.03.05 19:59:04 | 000,018,320 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\btnetdrv.sys -- (BT)
DRV - [2007.03.05 19:56:18 | 000,035,600 | ---- | M] (IVT Corporation.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\BtHidMgr.sys -- (BTHidMgr)
DRV - [2007.03.05 19:55:12 | 000,020,880 | ---- | M] (IVT Corporation.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\VBTEnum.sys -- (BTHidEnum)
DRV - [2007.03.05 19:53:18 | 000,044,304 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\VCommMgr.sys -- (VcommMgr)
DRV - [2007.03.05 19:52:18 | 000,034,448 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\VComm.sys -- (VComm)
DRV - [2006.11.02 08:36:43 | 002,028,032 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\atikmdag.sys -- (R300)
DRV - [2005.08.02 22:10:13 | 000,032,512 | ---- | M] (CACE Technologies) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\npf.sys -- (NPF)
DRV - [2005.02.23 13:58:56 | 000,011,776 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\afc.sys -- (Afc)
DRV - [2004.07.13 10:40:22 | 000,048,512 | ---- | M] (C-Media Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Umss.SYS -- (UMSSSTOR)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7DADE
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\SearchScopes\{52B13E22-1966-425E-951F-B7A1B9482E70}: "URL" = hxxp://de.search.yahoo.com/search?fr=mcafee&p={SearchTerms}
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Sichere Suche"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.2
FF - prefs.js..extensions.enabledItems: {455D905A-D37C-4643-A9E2-F6FEFAA0424A}:0.8.16
FF - prefs.js..extensions.enabledItems: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}:7.3.3.42
FF - prefs.js..extensions.enabledItems: maps@ovi.com:4.0.12.12
FF - prefs.js..extensions.enabledItems: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}:3.10.0.1
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.91
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.9.11
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}:6.0.31
FF - prefs.js..extensions.enabledItems: {4ED1F68A-5463-4931-9384-8FFF5ED91D92}:3.6.0
FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?fr=mcafee&p="
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 8118
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 8118
FF - prefs.js..network.proxy.type: 4
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_149.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll File not found
FF - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL ()
FF - HKLM\Software\MozillaPlugins\@mcafee.com/SAFFPlugin: C:\Program Files\McAfee\SiteAdvisor\npmcffplg32.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8064.0206: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.3088: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.3146: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.11.3006: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}: C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\ [2010.08.28 11:48:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{4ED1F68A-5463-4931-9384-8FFF5ED91D92}: C:\Program Files\McAfee\SiteAdvisor [2013.02.13 10:12:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.28\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.11.04 14:36:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.28\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.11.04 14:36:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}: C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension\ [2010.08.28 11:48:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK [2013.01.19 14:48:36 | 000,000,000 | ---D | M]
 
[2009.03.15 12:52:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Stefan\AppData\Roaming\mozilla\Extensions
[2013.02.21 13:42:39 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions
[2010.05.21 08:04:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012.04.16 08:34:13 | 000,000,000 | ---D | M] (RefControl) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}
[2012.12.09 16:14:01 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.12.09 16:13:59 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2010.10.22 18:11:10 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.11.20 01:37:20 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\de-DE@dictionaries.addons.mozilla.org
[2010.06.18 18:03:14 | 000,000,000 | ---D | M] (Ovi maps browser plugin) -- C:\Users\Stefan\AppData\Roaming\mozilla\Firefox\Profiles\sgqvx6q3.default\extensions\maps@ovi.com
[2012.02.25 09:10:11 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010.11.01 11:29:32 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.27 19:06:17 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.24 19:44:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2012.02.25 09:10:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
[2008.01.24 21:18:27 | 000,000,000 | ---D | M] ("Torbutton") -- C:\Program Files\Mozilla Firefox\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
[2013.02.13 10:12:25 | 000,000,000 | ---D | M] (McAfee SiteAdvisor) -- C:\PROGRAM FILES\MCAFEE\SITEADVISOR
[2010.08.28 11:48:20 | 000,000,000 | ---D | M] (Firefox Synchronisation Extension) -- C:\PROGRAM FILES\NOKIA\NOKIA OVI SUITE\CONNECTORS\BOOKMARKS CONNECTOR\FIREFOXEXTENSION
File not found (No name found) -- C:\USERS\STEFAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SGQVX6Q3.DEFAULT\EXTENSIONS\{FC2B76FC-2132-4D80-A9A3-1F5C6E49066B}
[2011.10.26 19:49:56 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\mozilla firefox\plugins\npwachk.dll
[2012.11.04 14:36:13 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.11.04 14:36:13 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.11.04 14:36:14 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.02.20 08:31:34 | 000,002,027 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\McSiteAdvisor.xml
[2012.11.04 14:36:14 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.11.04 14:36:14 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider:  ()
CHR - default_search_provider: search_url = 
CHR - default_search_provider: suggest_url = 
CHR - homepage: hxxp://start.facemoods.com/?a=ddrnw
 
O1 HOSTS File: ([2013.02.21 14:08:16 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll File not found
O2 - BHO: (no name) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - No CLSID value found.
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll (Dell Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll File not found
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O3 - HKLM\..\Toolbar: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - No CLSID value found.
O3 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [mcpltui_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [mcui_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [UpdReg] C:\Windows\Updreg.EXE (Creative Technology Ltd.)
O4 - HKLM..\Run: [VolPanel] C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe (Creative Technology Ltd)
O4 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000..\Run: [Spotify Web Helper] C:\Users\Stefan\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)
O4 - Startup: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BUFFALO NAS Navigator.lnk = C:\Program Files\BUFFALO\NASNAVI\NasNavi.exe (BUFFALO INC.)
O4 - Startup: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NAS Scheduler.lnk = C:\Program Files\BUFFALO\NASNAVI\nassche.exe (BUFFALO INC.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun =  [binary data]
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun =  [binary data]
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: &Winamp Toolbar Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html File not found
O8 - Extra context menu item: Senden an &Bluetooth - Reg Error: Value error. File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..Trusted Domains: fritz.repeater ([]* in Lokales Intranet)
O15 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..Trusted Domains: localhost ([]http in Lokales Intranet)
O15 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..Trusted Ranges: GD ([http] in Lokales Intranet)
O15 - HKU\S-1-5-21-2262971432-2027969357-3134466898-1000\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.9.2)
O16 - DPF: {A3256902-51FA-45A0-8A97-FC1143C169D9} hxxp://support.microsoft.com/mats/DiagWebControl.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.9.2)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F5A2109B-C59D-410D-A4C2-E5BE6D59C760}: NameServer = 192.168.178.1,192.168.178.2
O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\application/x-mfe-ipt {3EF5086B-5478-4598-A054-786C45D75692} - c:\Program Files\McAfee\MSC\McSnIePl.dll (McAfee, Inc.)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\dellwall1.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\dellwall1.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.21 14:15:09 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013.02.21 14:08:20 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN
[2013.02.21 14:03:00 | 000,000,000 | ---D | C] -- C:\Users\Stefan\AppData\Local\temp
[2013.02.21 13:49:58 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.02.21 13:49:58 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.02.21 13:49:58 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.02.21 13:49:25 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.02.21 13:49:03 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.02.21 13:48:23 | 005,034,370 | R--- | C] (Swearware) -- C:\Users\Stefan\Desktop\ComboFix.exe
[2013.02.21 08:07:15 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Stefan\Desktop\OTL.exe
[2013.02.20 12:05:55 | 000,000,000 | ---D | C] -- C:\FRST
[2013.02.20 08:44:24 | 000,000,000 | ---D | C] -- C:\Users\Stefan\Local Settings
[2009.02.14 20:15:22 | 000,047,360 | ---- | C] (VSO Software) -- C:\Users\Stefan\AppData\Roaming\pcouffin.sys
[2007.08.09 15:50:38 | 000,016,384 | ---- | C] (Microsoft Corporation) -- C:\Users\Stefan\AppData\Local\stdole.dll
[8 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.21 14:26:36 | 000,001,713 | ---- | M] () -- C:\Users\Public\Desktop\McAfee Total Protection.lnk
[2013.02.21 14:21:54 | 000,034,997 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2013.02.21 14:21:53 | 000,034,997 | ---- | M] () -- C:\ProgramData\nvModes.001
[2013.02.21 14:21:44 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.21 14:17:57 | 000,004,334 | ---- | M] () -- C:\Windows\System32\LOCALSERVICE.INI
[2013.02.21 14:17:54 | 000,000,972 | ---- | M] () -- C:\Windows\System32\bscs.ini
[2013.02.21 14:17:46 | 000,003,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.21 14:17:46 | 000,003,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.21 14:17:40 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.21 14:16:58 | 000,055,468 | ---- | M] () -- C:\Windows\System32\BMXStateBkp-{00000004-00000000-00000004-00001102-00000005-60021102}.rfx
[2013.02.21 14:16:58 | 000,055,468 | ---- | M] () -- C:\Windows\System32\BMXState-{00000004-00000000-00000004-00001102-00000005-60021102}.rfx
[2013.02.21 14:16:58 | 000,000,788 | ---- | M] () -- C:\Windows\System32\DVCState-{00000004-00000000-00000004-00001102-00000005-60021102}.rfx
[2013.02.21 14:08:16 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2013.02.21 13:49:15 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.02.21 13:48:38 | 005,034,370 | R--- | M] (Swearware) -- C:\Users\Stefan\Desktop\ComboFix.exe
[2013.02.21 13:41:45 | 000,587,671 | ---- | M] () -- C:\Users\Stefan\Desktop\adwcleaner0.exe
[2013.02.21 13:29:01 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.21 11:42:00 | 000,001,022 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2013.02.21 08:07:18 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Stefan\Desktop\OTL.exe
[2013.02.20 14:54:51 | 000,628,742 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.02.20 14:54:51 | 000,596,036 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.02.20 14:54:51 | 000,126,292 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.02.20 14:54:51 | 000,104,110 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.02.20 14:16:14 | 309,772,587 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.02.20 13:25:19 | 000,374,784 | ---- | M] () -- C:\Users\Stefan\Desktop\99bsfs37.exe
[2013.02.20 13:18:14 | 000,000,020 | ---- | M] () -- C:\Users\Stefan\defogger_reenable
[2013.02.20 13:17:17 | 000,050,477 | ---- | M] () -- C:\Users\Stefan\Desktop\Defogger.exe
[2013.02.15 03:31:28 | 000,308,856 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.02.08 14:28:26 | 000,001,933 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[8 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.21 13:49:58 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.02.21 13:49:58 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.02.21 13:49:58 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013.02.21 13:49:58 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013.02.21 13:49:58 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2013.02.21 13:41:38 | 000,587,671 | ---- | C] () -- C:\Users\Stefan\Desktop\adwcleaner0.exe
[2013.02.20 13:25:16 | 000,374,784 | ---- | C] () -- C:\Users\Stefan\Desktop\99bsfs37.exe
[2013.02.20 13:17:44 | 000,000,020 | ---- | C] () -- C:\Users\Stefan\defogger_reenable
[2013.02.20 13:17:17 | 000,050,477 | ---- | C] () -- C:\Users\Stefan\Desktop\Defogger.exe
[2012.10.28 12:41:30 | 000,000,229 | ---- | C] () -- C:\Users\Stefan\cvdm.err
[2012.08.19 20:47:26 | 007,411,200 | ---- | C] () -- C:\Users\Stefan\DesktopNapsterRienfRepair_119.msi
[2012.07.07 12:09:39 | 000,000,762 | ---- | C] () -- C:\Windows\Edofma.INI
[2012.04.22 10:23:49 | 000,021,840 | ---- | C] () -- C:\Windows\System32\SIntfNT.dll
[2012.04.22 10:23:49 | 000,017,212 | ---- | C] () -- C:\Windows\System32\SIntf32.dll
[2012.04.22 10:23:49 | 000,012,067 | ---- | C] () -- C:\Windows\System32\SIntf16.dll
[2012.04.22 10:21:18 | 000,016,931 | ---- | C] () -- C:\Windows\DIIUnin.dat
[2012.04.16 09:39:37 | 000,107,520 | RHS- | C] () -- C:\Windows\System32\TAKDSDecoder.dll
[2011.08.15 15:08:32 | 000,000,218 | ---- | C] () -- C:\Windows\SIERRA.INI
[2011.04.09 17:55:28 | 000,179,261 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat
[2011.02.23 19:07:39 | 001,725,701 | ---- | C] () -- C:\Users\Stefan\pbas.rar
[2010.12.21 16:51:24 | 000,009,982 | -HS- | C] () -- C:\Users\Stefan\Folder.jpg
[2010.12.21 16:51:24 | 000,002,369 | -HS- | C] () -- C:\Users\Stefan\AlbumArtSmall.jpg
[2010.08.08 16:09:45 | 000,000,218 | ---- | C] () -- C:\Users\Stefan\.recently-used.xbel
[2010.05.13 13:53:17 | 000,034,997 | ---- | C] () -- C:\ProgramData\nvModes.001
[2010.05.11 22:32:42 | 000,034,997 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2010.01.25 23:04:08 | 000,000,104 | ---- | C] () -- C:\Users\Stefan\Computer - Verknüpfung.lnk
[2009.09.01 17:46:25 | 000,000,680 | ---- | C] () -- C:\Users\Stefan\AppData\Local\d3d9caps.dat
[2009.02.14 20:15:22 | 000,007,887 | ---- | C] () -- C:\Users\Stefan\AppData\Roaming\pcouffin.cat
[2009.02.14 20:15:22 | 000,001,144 | ---- | C] () -- C:\Users\Stefan\AppData\Roaming\pcouffin.inf
[2009.01.05 11:41:10 | 000,544,768 | ---- | C] () -- C:\Users\Stefan\AppData\Local\filesync.metadata
[2008.01.25 11:47:00 | 000,217,088 | ---- | C] ( ) -- C:\Users\Stefan\AppData\Local\Interop.Microsoft.Office.Core.dll
[2008.01.15 20:05:08 | 000,000,081 | -HS- | C] () -- C:\ProgramData\.zreglib
[2007.12.18 22:22:02 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2007.09.09 17:19:57 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2007.08.06 20:24:23 | 000,000,452 | ---- | C] () -- C:\Users\Stefan\AppData\Roaming\wklnhst.dat
[2007.07.31 20:35:04 | 000,209,920 | ---- | C] () -- C:\Users\Stefan\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2010.08.09 21:54:34 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Amazon
[2012.04.16 09:14:57 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\AnvSoft
[2008.08.29 19:25:22 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\bhv-Edu
[2009.01.12 22:03:45 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Bioshock
[2010.08.08 13:32:12 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\CheckPoint
[2012.03.28 20:33:43 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\com.Rhapsody.Napster5
[2008.01.20 20:42:15 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Cuttermaran
[2011.10.03 09:40:13 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\DVDFab
[2012.07.15 10:07:09 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\DVDVideoSoft
[2008.06.05 21:47:36 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\EPSON
[2011.08.20 13:41:14 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\FarmingSimulator2008
[2009.06.17 11:03:49 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\GetRight
[2010.08.08 16:09:38 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\gtk-2.0
[2012.04.16 13:05:24 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\HandBrake
[2007.12.19 22:34:57 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\iExpert Software
[2008.02.22 10:24:05 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\iolo
[2009.12.06 21:58:27 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\JAM Software
[2008.10.21 20:10:02 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Leadertech
[2009.03.15 12:46:43 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\NapsterScrobbler
[2009.12.06 16:42:36 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\NASNaviator2
[2010.08.29 16:56:16 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Nokia
[2010.08.29 16:56:18 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Nokia Ovi Suite
[2013.01.04 10:14:40 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\OpenArena
[2010.06.10 19:53:52 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\PC Suite
[2010.12.11 20:55:40 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\PCDr
[2008.10.26 16:41:25 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\RipIt4Me
[2010.08.08 16:05:58 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\spek
[2010.07.10 15:50:01 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Spesoft Audio Converter
[2013.01.04 13:50:48 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Spotify
[2011.06.13 17:50:53 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Sync App Settings
[2007.09.22 14:06:57 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Template
[2009.03.07 08:43:05 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Tobit
[2009.02.14 20:16:15 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\Vso
[2008.09.30 14:41:52 | 000,000,000 | ---D | M] -- C:\Users\Stefan\AppData\Roaming\WEBDE
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\NHL08:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\My Games:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\KONAMI:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\FIFA 08:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Stefan\Documents\EA Games:Roxio EMC Stream

< End of report >
--- --- ---
Alt 21.02.2013, 14:57   #14
aharonov
/// TB-Ausbilder
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hallo Stefan,

wie läuft der Rechner jetzt?


Schritt 1
  • Starte bitte die OTL.exe.
  • Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
    Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.
Code:
ATTFilter
:OTL
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 8118
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 8118
FF - prefs.js..network.proxy.type: 4
CHR - homepage: hxxp://start.facemoods.com/?a=ddrnw

:commands
[emptytemp]
  • Schliesse nun bitte alle anderen Programme.
  • Klicke jetzt auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
  • Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
    (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
  • Kopiere nun dessen Inhalt hier in deinen Thread.



Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware .
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte nun Malwarebytes Anti-Malware.
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Klicke auf Aktualisierung --> Suche nach Aktualisierung.
  • Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
  • Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.



Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
  • Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
  • Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
    (Danach nicht vergessen, sie wieder einzuschalten.)
  • Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
  • Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
  • Warte bis die Komponenten heruntergeladen sind.
  • Setze den Haken bei Scan archives.
  • Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
  • Drücke dann auf Start.
  • Die Signaturen werden heruntergeladen und der Scan startet automatisch.
    Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
  • Falls nach Beendigung des Scans Funde angezeigt werden, dann:
    • Drücke auf List of found threats.
    • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
    • Drücke danach auf << Back.
  • Schliesse nun den Scanner mit einem Klick auf Finish.
Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 2).
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von OTL
  • Log von MBAM
  • Log von ESET
  • Log von SecurityCheck
__________________
cheers,
Leo

Alt 21.02.2013, 15:36   #15
derstef66
 
GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Standard

GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


Hallo Leo,
der Rechner läuft bisher unauffällig.

Code:
ATTFilter
 All processes killed
========== OTL ==========
Prefs.js: "localhost" removed from network.proxy.http
Prefs.js: 8118 removed from network.proxy.http_port
Prefs.js: "localhost" removed from network.proxy.socks
Prefs.js: 9050 removed from network.proxy.socks_port
Prefs.js: true removed from network.proxy.socks_remote_dns
Prefs.js: "localhost" removed from network.proxy.ssl
Prefs.js: 8118 removed from network.proxy.ssl_port
Prefs.js: 4 removed from network.proxy.type
Use Chrome's Settings page to change the HomePage.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 58264 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Stefan
->Temp folder emptied: 101473 bytes
->Temporary Internet Files folder emptied: 599002366 bytes
->Java cache emptied: 3081521 bytes
->FireFox cache emptied: 133633089 bytes
->Google Chrome cache emptied: 6124624 bytes
->Flash cache emptied: 98395 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 48 bytes
%systemroot%\System32 .tmp files removed: 7620412 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 715,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02212013_151629

Files\Folders moved on Reboot...
File\Folder C:\Users\Stefan\AppData\Local\Temp\~DF35CC.tmp not found!
File\Folder C:\Users\Stefan\AppData\Local\Temp\~DF35D4.tmp not found!
File\Folder C:\Users\Stefan\AppData\Local\Temp\~DF3637.tmp not found!
File\Folder C:\Users\Stefan\AppData\Local\Temp\~DF363F.tmp not found!
File\Folder C:\Users\Stefan\AppData\Local\Temp\~DF369E.tmp not found!
File\Folder C:\Users\Stefan\AppData\Local\Temp\~DF36A6.tmp not found!
C:\Users\Stefan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
C:\Users\Stefan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8IFTN1LA\131296-gvu-trojaner-windows-vista-32-bit-home-premium-2[1].htm moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.21.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Stefan :: STEFAN-PC [Administrator]

Schutz: Aktiviert

21.02.2013 15:39:59
mbam-log-2013-02-21 (15-39-59).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 218421
Laufzeit: 6 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Antwort
Seite 1 von 2 1 2

Themen zu GVU-Trojaner unter Windows VISTA 32 Bit Home Premium
32 bit, abgesicherte, abgesicherten, benötige, dauerhaft, dringend, erfolglos, hallo zusammen, hilft, home, kaspersky, latein, loszuwerden, modus, nichts, notfall, plagegeist, premium, scan, schwarze, system, virenscan, vista, windows, windows vista, zusammen


« mystart-Trojaner | bsetter-new.exe »

Ähnliche Themen: GVU-Trojaner unter Windows VISTA 32 Bit Home Premium


  1. Windows Vista Home Premium: AdWare Tracking Cookies gefunden
    Log-Analyse und Auswertung - 03.04.2015 (11)
  2. Windows Vista Home Premium SP1: Avast durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 11.05.2014 (10)
  3. Windows Vista Home Premium lässt sich nicht starten.
    Alles rund um Windows - 02.01.2014 (14)
  4. weißer Bildschirm unter Windows 7 Home Premium
    Log-Analyse und Auswertung - 15.11.2013 (7)
  5. win32downloader.gen Befall unter Windows Vista Home Premium
    Log-Analyse und Auswertung - 26.09.2013 (15)
  6. Gvu Trojaner unter Windows 7 home Premium
    Plagegeister aller Art und deren Bekämpfung - 06.08.2013 (1)
  7. GVU Trojaner 2.07 Windows Vista Home Premium
    Plagegeister aller Art und deren Bekämpfung - 28.06.2013 (5)
  8. 100 Tan Abfrage Commerzbank Windows Vista Home Premium 32 Bit, IE 9.0.16
    Log-Analyse und Auswertung - 18.05.2013 (7)
  9. Polizeivirus auf Windows Vista Home Premium
    Plagegeister aller Art und deren Bekämpfung - 13.10.2012 (33)
  10. GVU Trojaner 2.07 - Windows Vista Home Premium 32 Bit
    Log-Analyse und Auswertung - 07.10.2012 (6)
  11. GVU-Trojaner unter Windows Vista Home Premium
    Plagegeister aller Art und deren Bekämpfung - 07.09.2012 (18)
  12. TR/Medisys.F.10 in C:\Windows\System32 bei MS Vista home Premium
    Log-Analyse und Auswertung - 08.07.2012 (12)
  13. Windows Vista Home Premium 32-Bit Trojaner Windows gesperrt 50€ zahlen.
    Log-Analyse und Auswertung - 23.01.2012 (1)
  14. Windows XP Pro Systemfestplatte unter Win Vista Home Premium auslesen (sichern)
    Alles rund um Windows - 01.12.2011 (5)
  15. Der eingegebene Product Key für Windows Vista Home Premium ist nicht für die Aktivierung gültig
    Alles rund um Windows - 27.09.2011 (24)
  16. VIRUSS! Windows Vista Home Premium
    Alles rund um Windows - 10.04.2010 (3)
  17. Windows Vista Home Premium 32 Bit SP 1 standig Blue Screens und eingefrorenen Bild
    Log-Analyse und Auswertung - 25.11.2008 (12)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema GVU-Trojaner unter Windows VISTA 32 Bit Home Premium - Hallo zusammen, ich habe mir den GVU-Trojaner auf meinem Windows VISTA 32-Bit System eingefangen. Der Versuch, den Plagegeist über den abgesicherten Modus loszuwerden war erfolglos, ich bekomme nur einen schwarzen - GVU-Trojaner unter Windows VISTA 32 Bit Home Premium...
Archiv
Du betrachtest: GVU-Trojaner unter Windows VISTA 32 Bit Home Premium auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27