| |
| |||||||
Log-Analyse und Auswertung: Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
26.03.2013, 00:59
| #1 | |
| |  Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Hallo liebe Mitglieder von trojaner-board.de, Ich hoffe ich poste hier im richtigen Subforum. Sollte das nicht der Fall sein möchte ich mich an diesem Punkt schonmal entschuldigen. Seit einiger Zeit werden Spam-Mails von meinem E-Mail Account versendet. Dies habe ich mitbekommen, da Mailer-Deamon-Anworten auf nicht zustellbare Spam-Mails an mich zurück gesendet werden. Daraufhin habe ich zunächst mein E-Mail-Passwort geändert und mein AVira Virenscanner sowie Malwarebytes über den PC laufen lassen. Diese haben jedoch nichts gefunden und das Problem hat sich nicht gelöst. Jetzt wurde mir Spybot S&D 2 empfohlen, welches ich auch gleich installierte und mein System scannen ließ. Daraufhin wurden mir über 10.000 (in Worten: Zehntausend) Ergebnisse/Bedrohungen angezeigt, die sich jedoch nicht entfernen ließen (weder mit Administratoren-Rechten noch im abgesicherten Modus). Es gibt zwar keine konkreten hinderlichen Auswirkungen am PC aber ich bin kurz davor meinen Rechner zu formatieren, da ich es nicht akzeptieren kann, dass von meinem E-Mail Account aus Spam-Mails verschickt werden. Über Hilfe von eurer Seite währe ich sehr dankbar. Im Anhang die "otl", "defogger" und "gmer" Logs. Defogger: Zitat:
OTL Logfile: OTL EXTRAS Logfile: Code:
ATTFilter OTL logfile created on: 26.03.2013 00:05:29 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = H:\Dokumente und Einstellungen\***\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 75,48% Memory free 4,84 Gb Paging File | 4,16 Gb Available in Paging File | 85,90% Paging File free Paging file location(s): H:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = H: | %SystemRoot% = H:\WINDOWS | %ProgramFiles% = H:\Programme Drive H: | 931,50 Gb Total Space | 575,08 Gb Free Space | 61,74% Space Free | Partition Type: NTFS Computer Name: EMMA-GOLDMAN | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.03.25 23:57:36 | 000,602,112 | ---- | M] (OldTimer Tools) -- H:\Dokumente und Einstellungen\***\Desktop\OTL.exe PRC - [2013.03.11 13:29:44 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2013.03.11 13:29:05 | 000,079,584 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2013.03.11 13:29:00 | 000,385,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2013.03.11 13:29:00 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2013.03.08 10:09:57 | 000,170,912 | ---- | M] (Oracle Corporation) -- H:\Programme\Java\jre7\bin\jqs.exe PRC - [2012.11.13 14:08:12 | 003,487,240 | ---- | M] (Safer-Networking Ltd.) -- H:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe PRC - [2012.11.13 14:08:08 | 003,825,176 | ---- | M] (Safer-Networking Ltd.) -- H:\Programme\Spybot - Search & Destroy 2\SDTray.exe PRC - [2012.11.13 14:07:20 | 001,369,624 | ---- | M] (Safer-Networking Ltd.) -- H:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe PRC - [2012.11.13 14:07:16 | 001,103,392 | ---- | M] (Safer-Networking Ltd.) -- H:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe PRC - [2012.07.03 09:04:54 | 000,252,848 | ---- | M] (Sun Microsystems, Inc.) -- H:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2012.04.24 15:26:05 | 001,516,496 | ---- | M] (TrueCrypt Foundation) -- H:\Dokumente und Einstellungen\***\Eigene Dateien\TrueCrypt\TrueCrypt.exe PRC - [2011.06.21 18:12:28 | 000,196,912 | ---- | M] (Nitro PDF Software) -- H:\Programme\Nitro PDF\Reader 2\NitroPDFReaderDriverService2.exe PRC - [2011.05.21 06:01:00 | 002,214,504 | ---- | M] (NVIDIA Corporation) -- H:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe PRC - [2009.10.13 08:39:04 | 000,935,208 | ---- | M] (Nero AG) -- H:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- H:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2013.03.11 13:29:49 | 000,397,704 | ---- | M] () -- H:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2012.12.18 15:28:26 | 000,301,056 | ---- | M] () -- H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU MOD - [2012.11.13 14:06:32 | 000,158,624 | ---- | M] () -- H:\Programme\Spybot - Search & Destroy 2\snlFileFormats150.bpl MOD - [2012.11.13 14:06:30 | 000,108,960 | ---- | M] () -- H:\Programme\Spybot - Search & Destroy 2\snlThirdParty150.bpl MOD - [2012.11.13 14:06:28 | 000,554,400 | ---- | M] () -- H:\Programme\Spybot - Search & Destroy 2\VirtualTreesDXE150.bpl MOD - [2012.11.13 14:06:28 | 000,528,288 | ---- | M] () -- H:\Programme\Spybot - Search & Destroy 2\JSDialogPack150.bpl MOD - [2012.11.13 14:06:28 | 000,416,160 | ---- | M] () -- H:\Programme\Spybot - Search & Destroy 2\DEC150.bpl MOD - [2012.08.23 09:38:24 | 000,574,840 | ---- | M] () -- H:\Programme\Spybot - Search & Destroy 2\sqlite3.dll ========== Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- H:\Programme\Spybot -- (SDWSCService) SRV - File not found [Auto | Running] -- H:\Programme\Spybot -- (SDUpdateService) SRV - File not found [Auto | Running] -- H:\Programme\Spybot -- (SDScannerService) SRV - File not found [Auto | Stopped] -- H:\Programme\Hi-Rez Studios\HiPatchService.exe -- (HiPatchService) SRV - [2013.03.13 19:49:52 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- H:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013.03.11 13:29:44 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- H:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2013.03.11 13:29:00 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- H:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2013.03.08 12:31:51 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- H:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2013.03.08 10:09:57 | 000,170,912 | ---- | M] (Oracle Corporation) [Auto | Running] -- H:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService) SRV - [2013.02.28 19:25:34 | 000,161,384 | R--- | M] (Skype Technologies) [Auto | Stopped] -- H:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2011.06.21 18:12:28 | 000,196,912 | ---- | M] (Nitro PDF Software) [Auto | Running] -- H:\Programme\Nitro PDF\Reader 2\NitroPDFReaderDriverService2.exe -- (NitroReaderDriverReadSpool2) SRV - [2011.05.21 06:01:00 | 002,214,504 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- H:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService) SRV - [2011.03.14 01:27:41 | 000,068,096 | ---- | M] () [On_Demand | Stopped] -- H:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service) SRV - [2009.10.13 08:39:04 | 000,935,208 | ---- | M] (Nero AG) [Auto | Running] -- H:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Plshubworu) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\CDriver.sys -- (MSICDSetup) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2013.03.11 13:30:09 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- H:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2013.03.11 13:30:09 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- H:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2013.03.11 13:30:08 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- H:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2013.03.11 13:30:08 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- H:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.04.24 15:26:07 | 000,231,760 | ---- | M] (TrueCrypt Foundation) [Kernel | Boot | Running] -- H:\WINDOWS\system32\drivers\truecrypt.sys -- (truecrypt) DRV - [2012.03.07 01:02:43 | 000,024,408 | ---- | M] (AVAST Software) [Kernel | System | Running] -- H:\WINDOWS\System32\drivers\aswKbd.sys -- (aswKbd) DRV - [2010.06.04 10:59:18 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- H:\WINDOWS\system32\drivers\sptd.sys -- (sptd) DRV - [2010.05.07 15:52:23 | 000,279,712 | ---- | M] () [Kernel | Auto | Running] -- H:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt) DRV - [2010.05.07 15:52:23 | 000,025,888 | ---- | M] () [Kernel | Auto | Running] -- H:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt) DRV - [2009.11.26 10:35:00 | 000,588,032 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\RTL8192su.sys -- (RTL8192su) DRV - [2009.08.21 21:24:10 | 000,057,248 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA) DRV - [2009.03.12 10:25:12 | 005,051,904 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - [2009.03.02 14:00:46 | 000,095,592 | ---- | M] (Rocket Division Software) [Kernel | System | Running] -- H:\WINDOWS\system32\drivers\StarPortLite.sys -- (StarPortLite) DRV - [2009.01.19 19:31:56 | 000,277,544 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- H:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11) DRV - [2008.11.12 09:58:38 | 000,145,952 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- H:\WINDOWS\system32\drivers\nvgts.sys -- (nvgts) DRV - [2008.08.05 13:10:12 | 001,684,736 | R--- | M] (Creative) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2008.08.01 03:36:26 | 000,022,016 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus) DRV - [2008.08.01 03:36:20 | 000,054,784 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD) DRV - [2007.04.16 16:46:34 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- H:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM) DRV - [2006.01.04 08:41:48 | 001,389,056 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - H:\Programme\Ask.com\GenericAskToolbar.dll (Ask) IE - HKCU\..\SearchScopes,DefaultScope = {AB79D3B4-AEDB-428a-B504-BAC00521A1C7} IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=C56728E3-E546-4A1B-BD73-D83392ACBD2B&apn_sauid=165A5EB0-B115-40A0-80E7-143310E3D67C IE - HKCU\..\SearchScopes\{AB79D3B4-AEDB-428a-B504-BAC00521A1C7}: "URL" = hxxp://www.google-feed.net/results.php?q={searchTerms}&cx=002904446094441487865%3Ate-nlsbrcdy&cof=FORID%3A10&ie=UTF-8&said=&do=search&empty=0&from=1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.suggest.enabled: false FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..extensions.enabledAddons: %7B455D905A-D37C-4643-A9E2-F6FEFAA0424A%7D:0.8.16 FF - prefs.js..extensions.enabledAddons: %7B99B98C2C-7274-45a3-A640-D9DF1A1C8460%7D:1.4 FF - prefs.js..extensions.enabledAddons: %7Bd40f5e7b-d2cf-4856-b441-cc613eeffbe3%7D:1.68 FF - prefs.js..extensions.enabledAddons: %7Ba0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7%7D:20130129 FF - prefs.js..extensions.enabledAddons: %7Bdc572301-7619-498c-a57d-39143191b318%7D:0.4.0.5 FF - prefs.js..extensions.enabledAddons: %7B73a6fe31-595d-460b-a920-fcc0f8843232%7D:2.6.5.8 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2 FF - prefs.js..extensions.enabledItems: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20110323 FF - prefs.js..extensions.enabledItems: {dc572301-7619-498c-a57d-39143191b318}:0.3.8.5 FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.1.0.3 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6 FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6906 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {99B98C2C-7274-45a3-A640-D9DF1A1C8460}:1.4 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..keyword.URL: "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=C56728E3-E546-4A1B-BD73-D83392ACBD2B&apn_ptnrs=&apn_sauid=165A5EB0-B115-40A0-80E7-143310E3D67C&apn_dtid=OSJ000&&q=" FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: H:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: H:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: H:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: H:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: H:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: h:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: H:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF - HKLM\Software\MozillaPlugins\@soe.sony.com/installer,version=1.0.3: H:\Dokumente und Einstellungen\***\Anwendungsdaten\Sony Online Entertainment\npsoe.dll () FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.2: H:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN) FF - HKLM\Software\MozillaPlugins\Adobe Reader: H:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKLM\Software\MozillaPlugins\NitroPDF: H:\Programme\Nitro PDF\Reader 2\npnitromozilla.dll ( ) FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: H:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: H:\Programme\Mozilla Firefox\components [2013.03.08 12:31:53 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: H:\Programme\Mozilla Firefox\plugins [2013.03.08 12:31:43 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.4\extensions\\Components: H:\Programme\Mozilla Thunderbird\components [2013.03.12 16:44:36 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.4\extensions\\Plugins: H:\Programme\Mozilla Thunderbird\plugins FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\SearchToolbar@skywebsearch.com: H:\Programme\Save Tube Video Company\SaveTubeVideo\FF [2011.04.01 17:01:25 | 000,000,000 | ---D | M] (No name found) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2011.04.01 17:01:25 | 000,000,000 | ---D | M] (No name found) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2013.03.18 10:05:04 | 000,000,000 | ---D | M] (No name found) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\extensions [2010.04.28 09:46:22 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.02.22 10:03:29 | 000,000,000 | ---D | M] (CookieCuller) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\extensions\{99B98C2C-7274-45a3-A640-D9DF1A1C8460} [2013.01.30 19:44:40 | 000,000,000 | ---D | M] (WOT) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [2012.03.18 10:47:18 | 000,075,799 | ---- | M] () (No name found) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}.xpi [2013.03.08 10:10:59 | 000,531,283 | ---- | M] () (No name found) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2013.02.14 16:08:30 | 000,817,280 | ---- | M] () (No name found) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2012.01.21 17:23:40 | 000,138,614 | ---- | M] () (No name found) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}.xpi [2013.03.08 10:10:59 | 000,754,446 | ---- | M] () (No name found) -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi [2010.03.18 16:20:03 | 000,004,140 | ---- | M] () -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\searchplugins\youtube.xml [2013.03.08 12:31:36 | 000,000,000 | ---D | M] (No name found) -- H:\Programme\Mozilla Firefox\extensions [2013.03.08 12:31:36 | 000,000,000 | ---D | M] (Java Console) -- H:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2013.03.08 12:31:37 | 000,000,000 | ---D | M] (Java Console) -- H:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2013.03.08 12:31:52 | 000,263,064 | ---- | M] (Mozilla Foundation) -- H:\Programme\mozilla firefox\components\browsercomps.dll [2011.10.02 11:23:17 | 000,001,392 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.09.24 05:54:40 | 000,002,465 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\bing.xml [2011.10.02 11:23:17 | 000,001,153 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.10.02 11:23:16 | 000,006,805 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.10.02 11:23:16 | 000,001,178 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.10.02 11:23:16 | 000,001,105 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.10.31 14:49:12 | 000,000,884 | ---- | M]) - H:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 q4master.idsoftware.com O1 - Hosts: 127.0.0.1 idnet.ua-corp.com O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM..\Run: [Adobe ARM] H:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] H:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [NvCplDaemon] H:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] H:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] H:\Programme\NVIDIA Corporation\nView\nwiz.exe () O4 - HKLM..\Run: [SDTray] H:\Programme\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.) O4 - HKLM..\Run: [SunJavaUpdateSched] H:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [TrueCrypt] H:\Dokumente und Einstellungen\***\Eigene Dateien\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation) O4 - Startup: H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: H:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Dropbox.lnk = H:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O4 - Startup: H:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = H:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.) O15 - HKCU\..Trusted Domains: clonewarsadventures.com ([]* in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: freerealms.com ([]* in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: soe.com ([]* in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: sony.com ([]* in Vertrauenswürdige Sites) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{05DFF5E4-6360-41D3-A0DC-1B2A6104F58A}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - H:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (H:\WINDOWS\system32\userinit.exe) - H:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Desktop-Hintergrund.bmp O24 - Desktop BackupWallPaper: H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Desktop-Hintergrund.bmp O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{36ecf2c8-0a7c-11df-876a-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{36ecf2c8-0a7c-11df-876a-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{36ecf2c8-0a7c-11df-876a-806d6172696f}\Shell\AutoRun\command - "" = G:\DVDSetup.exe O33 - MountPoints2\{90005e33-0abc-11e0-bcb3-002421eb446c}\Shell\play\command - "" = H:\Programme\VideoLAN\VLC\vlc.exe -- [2012.06.27 23:23:00 | 000,108,544 | ---- | M] () O33 - MountPoints2\E\Shell - "" = AutoRun O33 - MountPoints2\E\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a O33 - MountPoints2\J\Shell - "" = AutoRun O33 - MountPoints2\J\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\J\Shell\AutoRun\command - "" = J:\LaunchU3.exe -a O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.03.25 23:57:35 | 000,602,112 | ---- | C] (OldTimer Tools) -- H:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2013.03.24 16:01:25 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2013.03.24 16:01:22 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy 2 [2013.03.24 16:01:15 | 000,015,224 | ---- | C] (Safer Networking Limited) -- H:\WINDOWS\System32\sdnclean.exe [2013.03.24 16:01:08 | 000,000,000 | ---D | C] -- H:\Programme\Spybot - Search & Destroy 2 [2013.03.18 09:28:58 | 000,000,000 | ---D | C] -- H:\Programme\Gemeinsame Dateien\Skype [2013.03.18 09:28:58 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype [2013.03.15 12:59:37 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\***\Eigene Dateien\SimCity 4 [2013.03.12 16:44:36 | 000,000,000 | ---D | C] -- H:\Programme\Mozilla Thunderbird [2013.03.12 10:04:36 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\AskToolbar [2013.03.12 09:44:30 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira [2013.03.12 09:38:59 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira [2013.03.12 09:38:53 | 000,028,520 | ---- | C] (Avira GmbH) -- H:\WINDOWS\System32\drivers\ssmdrv.sys [2013.03.12 09:38:51 | 000,134,336 | ---- | C] (Avira Operations GmbH & Co. KG) -- H:\WINDOWS\System32\drivers\avipbb.sys [2013.03.12 09:38:51 | 000,083,944 | ---- | C] (Avira Operations GmbH & Co. KG) -- H:\WINDOWS\System32\drivers\avgntflt.sys [2013.03.12 09:38:51 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- H:\WINDOWS\System32\drivers\avkmgr.sys [2013.03.12 09:38:47 | 000,000,000 | ---D | C] -- H:\Programme\Avira [2013.03.12 09:38:47 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2013.03.09 11:19:02 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Sun [2013.03.08 12:31:35 | 000,000,000 | ---D | C] -- H:\Programme\Mozilla Firefox [2013.03.08 10:10:19 | 000,000,000 | ---D | C] -- H:\Programme\Gemeinsame Dateien\Java [5 H:\WINDOWS\*.tmp files -> H:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.03.26 00:05:00 | 000,000,228 | ---- | M] () -- H:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2013.03.26 00:04:45 | 000,377,856 | ---- | M] () -- H:\Dokumente und Einstellungen\***\Desktop\gmer_2.1.19155.exe [2013.03.26 00:01:24 | 000,000,612 | ---- | M] () -- H:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job [2013.03.26 00:01:07 | 000,002,048 | --S- | M] () -- H:\WINDOWS\bootstat.dat [2013.03.25 23:59:19 | 000,000,168 | ---- | M] () -- H:\Dokumente und Einstellungen\***\defogger_reenable [2013.03.25 23:58:37 | 000,050,477 | ---- | M] () -- H:\Dokumente und Einstellungen\***\Desktop\Defogger.exe [2013.03.25 23:57:36 | 000,602,112 | ---- | M] (OldTimer Tools) -- H:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2013.03.25 23:48:00 | 000,000,884 | ---- | M] () -- H:\WINDOWS\tasks\Adobe Flash Player Updater.job [2013.03.25 23:09:52 | 000,000,880 | ---- | M] () -- H:\WINDOWS\wininit.ini [2013.03.24 16:01:31 | 000,000,608 | ---- | M] () -- H:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job [2013.03.24 16:01:31 | 000,000,438 | ---- | M] () -- H:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job [2013.03.24 16:01:22 | 000,001,800 | ---- | M] () -- H:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk [2013.03.24 15:43:36 | 000,002,206 | ---- | M] () -- H:\WINDOWS\System32\wpa.dbl [2013.03.17 18:24:14 | 000,000,055 | ---- | M] () -- H:\WINDOWS\KMSTMVM.ini [2013.03.16 13:10:44 | 000,001,324 | ---- | M] () -- H:\WINDOWS\System32\d3d9caps.dat [2013.03.14 00:51:42 | 000,001,374 | ---- | M] () -- H:\WINDOWS\imsins.BAK [2013.03.11 13:30:09 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\WINDOWS\System32\drivers\avkmgr.sys [2013.03.11 13:30:09 | 000,028,520 | ---- | M] (Avira GmbH) -- H:\WINDOWS\System32\drivers\ssmdrv.sys [2013.03.11 13:30:08 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\WINDOWS\System32\drivers\avipbb.sys [2013.03.11 13:30:08 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\WINDOWS\System32\drivers\avgntflt.sys [2013.03.10 10:20:58 | 000,002,953 | ---- | M] () -- H:\WINDOWS\System32\CONFIG.NT [2013.03.07 00:32:42 | 000,228,600 | ---- | M] (AVAST Software) -- H:\WINDOWS\System32\aswBoot.exe [5 H:\WINDOWS\*.tmp files -> H:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.03.26 00:04:45 | 000,377,856 | ---- | C] () -- H:\Dokumente und Einstellungen\***\Desktop\gmer_2.1.19155.exe [2013.03.25 23:59:11 | 000,000,168 | ---- | C] () -- H:\Dokumente und Einstellungen\***\defogger_reenable [2013.03.25 23:58:37 | 000,050,477 | ---- | C] () -- H:\Dokumente und Einstellungen\***\Desktop\Defogger.exe [2013.03.24 17:59:18 | 000,000,880 | ---- | C] () -- H:\WINDOWS\wininit.ini [2013.03.24 16:01:30 | 000,000,612 | ---- | C] () -- H:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job [2013.03.24 16:01:30 | 000,000,608 | ---- | C] () -- H:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job [2013.03.24 16:01:30 | 000,000,438 | ---- | C] () -- H:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job [2013.03.24 16:01:22 | 000,001,806 | ---- | C] () -- H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot-S&D Start Center.lnk [2013.03.24 16:01:22 | 000,001,800 | ---- | C] () -- H:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk [2012.02.28 01:19:26 | 000,273,344 | ---- | C] () -- H:\WINDOWS\System32\nvdrsdb1.bin [2012.02.28 01:19:26 | 000,273,344 | ---- | C] () -- H:\WINDOWS\System32\nvdrsdb0.bin [2012.02.28 01:19:26 | 000,000,001 | ---- | C] () -- H:\WINDOWS\System32\nvdrssel.bin [2012.02.28 01:19:07 | 002,123,582 | ---- | C] () -- H:\WINDOWS\System32\nvdata.data [2012.02.15 15:49:26 | 000,003,072 | ---- | C] () -- H:\WINDOWS\System32\iacenc.dll [2011.10.10 16:31:16 | 000,000,109 | ---- | C] () -- H:\Dokumente und Einstellungen\***\zge.ini [2011.08.10 18:11:53 | 000,000,001 | ---- | C] () -- H:\WINDOWS\System32\SI.bin [2011.05.26 13:32:00 | 000,000,754 | ---- | C] () -- H:\WINDOWS\WORDPAD.INI [2011.01.09 14:25:38 | 000,000,139 | ---- | C] () -- H:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2011.01.08 17:22:40 | 000,022,328 | ---- | C] () -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\PnkBstrK.sys [2010.12.18 22:04:41 | 000,000,125 | -HS- | C] () -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2010.02.06 17:34:49 | 000,000,226 | ---- | C] () -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\default.rss [2010.02.03 23:29:45 | 000,016,896 | ---- | C] () -- H:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.01.30 20:36:06 | 000,001,950 | ---- | C] () -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\mainhst.zgh ========== ZeroAccess Check ========== [2010.02.02 23:51:51 | 000,000,227 | RHS- | M] () -- H:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2013.02.06 11:48:32 | 001,510,400 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = H:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = H:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2010.04.13 17:05:39 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software [2012.10.07 21:30:25 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask [2012.04.21 12:50:13 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net [2010.06.04 10:58:58 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2010.07.10 20:37:30 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fallout3 [2012.07.05 13:19:26 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hi-Rez Studios [2011.08.19 13:05:54 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nitro PDF [2012.02.25 09:37:33 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Origin [2013.03.25 15:39:30 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files [2010.12.18 22:18:15 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft [2013.03.13 17:11:40 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania [2012.05.18 10:01:08 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrueCrypt [2010.04.18 17:10:35 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Acreon [2012.10.28 10:05:22 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\BitTorrent [2012.02.24 10:26:44 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\BitZipper [2010.06.04 11:19:38 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools Lite [2011.08.19 13:05:28 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Downloaded Installations [2013.03.26 00:03:06 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox [2013.02.07 13:35:41 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoft [2013.03.10 16:41:02 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\gnupg [2012.02.22 19:53:05 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Go!Zilla [2011.09.11 23:22:57 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\LolClient [2012.06.10 10:45:43 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\LolClient2 [2011.04.19 16:06:17 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\LucasArts [2010.09.13 10:40:46 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Miranda [2012.10.26 09:20:05 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\MSNInstaller [2012.12.21 22:10:16 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Nitro PDF [2012.03.21 16:11:31 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenArena [2010.02.01 12:21:30 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org [2012.02.25 08:16:35 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Origin [2011.04.19 16:06:54 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Petroglyph [2010.02.07 20:43:02 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\ProtectDisc [2012.07.15 15:40:03 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Sony Online Entertainment [2010.09.24 09:39:06 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\StarBurn [2011.04.01 16:59:32 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird [2012.05.18 16:58:37 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\TrueCrypt [2010.03.03 18:16:20 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\TS3Client [2010.05.07 15:50:37 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\WorldShift [2011.10.10 14:47:36 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\***\Anwendungsdaten\ZipGenius ========== Purity Check ========== < End of report > --- --- --- Gmer: GMER Logfile: Code:
ATTFilter GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit scan 2013-03-26 00:24:54
Windows 5.1.2600 Service Pack 3 \Device\Harddisk1\DR2 -> \Device\Scsi\nvgts1Port2Path1Target1Lun0 Generic- rev.1.00 0,00MB
Running: gmer_2.1.19155.exe; Driver: H:\DOKUME~1\***\LOKALE~1\Temp\kwryqpoc.sys
---- System - GMER 2.1 ----
SSDT B87F857C ZwClose
SSDT B87F8536 ZwCreateKey
SSDT B87F8586 ZwCreateSection
SSDT B87F852C ZwCreateThread
SSDT B87F853B ZwDeleteKey
SSDT B87F8545 ZwDeleteValueKey
SSDT B87F8577 ZwDuplicateObject
SSDT B87F854A ZwLoadKey
SSDT B87F8518 ZwOpenProcess
SSDT B87F851D ZwOpenThread
SSDT B87F859F ZwQueryValueKey
SSDT B87F8554 ZwReplaceKey
SSDT B87F8590 ZwRequestWaitReplyPort
SSDT B87F854F ZwRestoreKey
SSDT B87F858B ZwSetContextThread
SSDT B87F8595 ZwSetSecurityObject
SSDT B87F8540 ZwSetValueKey
SSDT B87F859A ZwSystemDebugControl
SSDT B87F8527 ZwTerminateProcess
---- Kernel code sections - GMER 2.1 ----
.text H:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB6AB43A0, 0x88C445, 0xE8000020]
.reloc H:\WINDOWS\system32\drivers\acedrv11.sys section is executable [0xB2EA8300, 0x25D4C, 0xE0000060]
.text H:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB2E49300, 0x3AF78, 0xE8000020]
.text H:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB83B0300, 0x1BCE, 0xE8000020]
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 H:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xB4 0x04 0x95 0x94 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x1D 0x74 0x15 0x10 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xF7 0x26 0x6F 0x6B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 H:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xB4 0x04 0x95 0x94 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x1D 0x74 0x15 0x10 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xF7 0x26 0x6F 0x6B ...
---- Disk sectors - GMER 2.1 ----
Disk \Device\Harddisk1\DR2 unknown MBR code
Disk \Device\Harddisk1\DR2 sector 0: rootkit-like behavior
---- EOF - GMER 2.1 ----
OTL Extras: OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 26.03.2013 00:05:30 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = H:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 75,48% Memory free
4,84 Gb Paging File | 4,16 Gb Available in Paging File | 85,90% Paging File free
Paging file location(s): H:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = H: | %SystemRoot% = H:\WINDOWS | %ProgramFiles% = H:\Programme
Drive H: | 931,50 Gb Total Space | 575,08 Gb Free Space | 61,74% Space Free | Partition Type: NTFS
Computer Name: EMMA-GOLDMAN | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- H:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "H:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "H:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"56594:TCP" = 56594:TCP:*:Enabled:Pando Media Booster
"56594:UDP" = 56594:UDP:*:Enabled:Pando Media Booster
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"56594:TCP" = 56594:TCP:*:Enabled:Pando Media Booster
"56594:UDP" = 56594:UDP:*:Enabled:Pando Media Booster
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"H:\Programme\Pando Networks\Media Booster\PMB.exe" = H:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"H:\Programme\Miranda IM\miranda32.exe" = H:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )
"H:\Programme\Skype\Plugin Manager\skypePM.exe" = H:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"H:\Dokumente und Einstellungen\***\Eigene Dateien\WoW\World of Warcraft\Launcher.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\WoW\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher
"H:\Dokumente und Einstellungen\***\Eigene Dateien\WoW\World of Warcraft\WoW-3.2.0-deDE-downloader.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\WoW\World of Warcraft\WoW-3.2.0-deDE-downloader.exe:*:Disabled:Blizzard Downloader
"H:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\bcsetup.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\bcsetup.exe:*:Disabled:Blizzard Downloader
"H:\Programme\Flagship Studios\Hellgate London\Launcher.exe" = H:\Programme\Flagship Studios\Hellgate London\Launcher.exe:*:Enabled:Hellgate: London
"H:\Programme\WorldShift\bin\WorldShift.exe" = H:\Programme\WorldShift\bin\WorldShift.exe:*:Enabled:WorldShift
"H:\Programme\BitTorrent\bittorrent.exe" = H:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent -- (BitTorrent, Inc.)
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\quake\quake3.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\quake\quake3.exe:*:Disabled:quake3
"H:\Programme\VideoLAN\VLC\vlc.exe" = H:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\World of Warcraft\Repair.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\World of Warcraft\Repair.exe:*:Enabled:Blizzard Repair Utility
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\fear\FEARMP.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\fear\FEARMP.exe:*:Enabled:FEAR Combat -- (Monolith Productions, Inc.)
"H:\Programme\id Software\Quake 4\Quake4.exe" = H:\Programme\id Software\Quake 4\Quake4.exe:*:Disabled:Quake 4
"H:\Programme\id Software\Quake 4\Quake4Ded.exe" = H:\Programme\id Software\Quake 4\Quake4Ded.exe:*:Enabled:Quake 4
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\StarCraft II\StarCraft II.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\StarCraft II\StarCraft II.exe:*:Enabled:Blizzard Launcher -- (Blizzard Entertainment)
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\Diablo II\Game.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\Diablo II\Game.exe:*:Enabled:Diablo II -- (Blizzard North)
"H:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" = H:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:*:Enabled:Veoh Web Player
"H:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe" = H:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:*:Enabled:Crysis_32
"H:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe" = H:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32
"H:\WINDOWS\system32\PnkBstrA.exe" = H:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA -- ()
"H:\WINDOWS\system32\PnkBstrB.exe" = H:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB -- ()
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\2K Games\Gearbox Software\Borderlands\Binaries\Borderlands.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\2K Games\Gearbox Software\Borderlands\Binaries\Borderlands.exe:*:Enabled:Borderlands -- (Take-Two Interactive Software, Inc.)
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\eaw-foc\swfoc.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\eaw-foc\swfoc.exe:*:Enabled:Star Wars(R): Empire at War(TM): Forces of Corruption(TM) -- (Lucasfilm Entertainment Company, Ltd.)
"H:\Programme\Pando Networks\Media Booster\PMB.exe" = H:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\openarena-0.8.5\oa081\openarena-0.8.1\oa_ded.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\openarena-0.8.5\oa081\openarena-0.8.1\oa_ded.exe:*:Enabled:oa_ded -- ()
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\openarena-0.8.5\oa081\openarena-0.8.1\openarena-deprecated.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\openarena-0.8.5\oa081\openarena-0.8.1\openarena-deprecated.exe:*:Enabled:openarena-deprecated -- ()
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\openarena-0.8.5\oa081\openarena-0.8.1\openarena_deprecated.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\openarena-0.8.5\oa081\openarena-0.8.1\openarena_deprecated.exe:*:Enabled:openarena_deprecated -- ()
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\WoW\World of Warcraft\WoW-x.x.x.x-4.0.0.12911-EU-Downloader.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\WoW\World of Warcraft\WoW-x.x.x.x-4.0.0.12911-EU-Downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"H:\Programme\Kingdoms of Amalur- Reckoning\Reckoning.exe" = H:\Programme\Kingdoms of Amalur- Reckoning\Reckoning.exe:*:Enabled:Kingdoms Of Amalur: Reckoning
"H:\Programme\Save Tube Video Company\SaveTubeVideo\downloader.exe" = H:\Programme\Save Tube Video Company\SaveTubeVideo\downloader.exe:*:Enabled:SaveTubeVideo
"H:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe" = H:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
"H:\Programme\TmNationsForever\TmForever.exe" = H:\Programme\TmNationsForever\TmForever.exe:*:Enabled:TmForever
"H:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = H:\Dokumente und Einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.515\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.515\Agent.exe:*:Enabled:Blizzard Agent
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.868\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.868\Agent.exe:*:Enabled:Blizzard Agent
"H:\Programme\Diablo III Beta\Diablo III.exe" = H:\Programme\Diablo III Beta\Diablo III.exe:*:Enabled:Diablo III Beta
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.954\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.954\Agent.exe:*:Enabled:Blizzard Agent
"H:\Programme\Diablo III\Diablo III.exe" = H:\Programme\Diablo III\Diablo III.exe:*:Enabled:Diablo III
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.976\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.976\Agent.exe:*:Enabled:Blizzard Agent
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.998\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.998\Agent.exe:*:Enabled:Blizzard Agent
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1040\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1040\Agent.exe:*:Enabled:Blizzard Agent
"H:\Programme\Hi-Rez Studios\HiRezGames\tribes\Binaries\Win32\TribesAscend.exe" = H:\Programme\Hi-Rez Studios\HiRezGames\tribes\Binaries\Win32\TribesAscend.exe:*:Enabled:TribesAscend
"H:\Programme\Sony Online Entertainment\Installed Games\Magic The Gathering Tactics\MtGTactics.exe" = H:\Programme\Sony Online Entertainment\Installed Games\Magic The Gathering Tactics\MtGTactics.exe:*:Enabled:MtGTactics
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\Kingdoms of Amalur- Reckoning\Reckoning.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\Kingdoms of Amalur- Reckoning\Reckoning.exe:*:Enabled:Kingdoms Of Amalur: Reckoning -- (Big Huge Games)
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\Diablo III\Diablo III.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\Diablo III\Diablo III.exe:*:Enabled:Diablo III -- (Blizzard Entertainment)
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1199\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1199\Agent.exe:*:Enabled:Battle.net Update Agent
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1225\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1225\Agent.exe:*:Enabled:Battle.net Update Agent
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\TmNationsForever\TmForever.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\TmNationsForever\TmForever.exe:*:Enabled:TmForever -- ()
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\StarCraft II\sc2-x.x.x.x-1.5.0.22342-enUS-Downloader.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\StarCraft II\sc2-x.x.x.x-1.5.0.22342-enUS-Downloader.exe:*:Enabled:Blizzard Downloader
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\StarCraft II\StarCraft II Public Test.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\StarCraft II\StarCraft II Public Test.exe:*:Enabled:PTR von StarCraft II -- (Blizzard Entertainment)
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\openarena-0.8.5\oa081\openarena-0.8.1\openarena.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\openarena-0.8.5\oa081\openarena-0.8.1\openarena.exe:*:Enabled:openarena -- ()
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1363\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1363\Agent.exe:*:Enabled:Battle.net Update Agent
"H:\Programme\Java\jre6\bin\javaw.exe" = H:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1544\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1544\Agent.exe:*:Enabled:Battle.net Update Agent -- (Blizzard Entertainment)
"H:\WINDOWS\system32\dplaysvr.exe" = H:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper -- (Microsoft Corporation)
"H:\Dokumente und Einstellungen\***\Eigene Dateien\games\Heroes of Might and Magic 3 Complete\Heroes3.exe" = H:\Dokumente und Einstellungen\***\Eigene Dateien\games\Heroes of Might and Magic 3 Complete\Heroes3.exe:*:Enabled:Heroes of Might and Magic® III -- (The 3DO Company)
"H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1675\Agent.exe" = H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1675\Agent.exe:*:Enabled:Battle.net Update Agent -- (Blizzard Entertainment)
"H:\Programme\Java\jre7\bin\javaw.exe" = H:\Programme\Java\jre7\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Oracle Corporation)
"H:\Programme\Skype\Phone\Skype.exe" = H:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
"H:\Programme\Spybot - Search & Destroy 2\SDTray.exe" = H:\Programme\Spybot - Search & Destroy 2\SDTray.exe:*:Enabled:Spybot-S&D 2 Tray Icon -- (Safer-Networking Ltd.)
"H:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe" = H:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe:*:Enabled:Spybot-S&D 2 Scanner Service -- (Safer-Networking Ltd.)
"H:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe" = H:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe:*:Enabled:Spybot-S&D 2 Updater -- (Safer-Networking Ltd.)
"H:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe" = H:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe:*:Enabled:Spybot-S&D 2 Background update service -- (Safer-Networking Ltd.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{000E79B7-E725-4F01-870A-C12942B7F8E4}" = Crysis(R)
"{02627EE5-EACA-4742-A9CC-E687631773E4}" = Nero ShowTime
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{152B782A-05F3-48EC-9AAC-4D3EB68D9E20}" = Quake 4(TM)
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20071984-5EB1-4881-8EDB-082532ACEC6D}" = Heroes of Might and Magic V
"{20400DBD-E6DB-45B8-9B6B-1DD7033818EC}" = Nero InfoTool Help
"{2348B586-C9AE-46CE-936C-A68E9426E214}" = Nero StartSmart Help
"{259A8A5E-2886-4BED-9EF1-D5485282CCC3}" = Overlord
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"{33CF58F5-48D8-4575-83D6-96F574E4D83A}" = Nero DriveSpeed
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{368BA326-73AD-4351-84ED-3C0A7A52CC53}" = Nero Rescue Agent
"{3C87E0FF-BC0A-4F5E-951B-68DC3F8DF010}" = Tribes Ascend
"{3C87E0FF-BC0A-4F5E-951B-68DC3F8DF1FC}" = Hi-Rez Studios Authenticate and Update Service
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{43E39830-1826-415D-8BAE-86845787B54B}" = Nero Vision
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.3
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{595A3116-40BB-4E0F-A2E8-D7951DA56270}" = NeroExpress
"{5D9BE3C1-8BA4-4E7E-82FD-9F74FA6815D1}" = Nero Vision Help
"{5E08ECD1-C98E-4711-BF65-8FD736B3F969}" = Nero RescueAgent Help
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{62AC81F6-BDD3-4110-9D36-3E9EAAB40999}" = Nero CoverDesigner
"{6592FDEC-2C1A-413A-9985-25FEC2F0848D}" = Star Wars Empire at War Forces of Corruption
"{66FF4C48-0083-4E60-8556-B883AB200091}" = Heroes of Might & Magic V: Hammers of Fate
"{66FF4C48-0083-4E60-8556-B883AB200092}" = Heroes of Might and Magic V - Tribes of the East
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{75E607CF-7BAE-4B88-84B3-97F3DF44BA28}" = FEARCombat
"{7748AC8C-18E3-43BB-959B-088FAEA16FB2}" = Nero StartSmart
"{7829DB6F-A066-4E40-8912-CB07887C20BB}" = Nero BurnRights
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{83202942-84B3-4C50-8622-B8C0AA2D2885}" = Nero Express Help
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{869200DB-287A-4DC0-B02B-2B6787FBCD4C}" = Nero DiscSpeed
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{918A9082-6287-4D25-9002-5E5D5E4971CB}" = League of Legends
"{929CE49F-1CA7-4CF3-A9A1-6D757443C63F}" = Microsoft Games for Windows - LIVE Redistributable
"{95140000-00AF-0409-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer
"{974C4B12-4D02-4879-85E0-61C95CC63E9E}" = Fallout 3
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{99AE7207-8612-4DBA-A8F8-BAE5C633390D}" = Star Wars Empire at War
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A2B4455D-1046-4732-BFBC-0821BEFC07BC}" = Hellgate: London
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A75BDD40-6540-4922-BFF7-D9DCCECAD714}" = Nitro PDF Reader 2
"{A7A34FC9-DF24-4A36-00AD-D4EFE94CC116}" = SimCity 4 Deluxe
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2EC4A38-B545-4A00-8214-13FE0E915E6D}" = Advertising Center
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 275.33
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 275.33
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.85
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.3.5
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1" = Spybot - Search & Destroy
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{B78120A0-CF84-4366-A393-4D0A59BC546C}" = Menu Templates - Starter Kit
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BD5CA0DA-71AD-43DA-B19E-6EEE0C9ADC9A}" = Nero ControlCenter
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver
"{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}" = NVIDIA PhysX
"{C81A2FE0-3574-00A9-CED4-BDAA334CBE8E}" = Nero Online Upgrade
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC019E3F-59D2-4486-8D4B-878105B62A71}" = Nero DiscSpeed Help
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE96F5A5-584D-4F8F-AA3E-9BAED413DB72}" = Nero CoverDesigner Help
"{D9DCF92E-72EB-412D-AC71-3B01276E5F8B}" = Nero ShowTime
"{daffc2e2-7f65-4621-842d-f6dda14c4ff1}" = Nero 9 Essentials
"{E498385E-1C51-459A-B45F-1721E37AA1A0}" = Movie Templates - Starter Kit
"{E5C7D048-F9B4-4219-B323-8BDB01A2563D}" = Nero DriveSpeed Help
"{E8A80433-302B-4FF1-815D-FCC8EAC482FF}" = Nero Installer
"{EC3B598C-1151-4191-B5B4-A9072ADE6259}_is1" = ZipGenius 6 (6.3.0.2400)
"{EFB21DE7-8C19-4A88-BB28-A766E16493BC}" = Adobe Photoshop CS
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F4041DCE-3FE1-4E18-8A9E-9DE65231EE36}" = Nero ControlCenter
"{F6BDD7C5-89ED-4569-9318-469AA9732572}" = Nero BurnRights Help
"{FBCDFD61-7DCF-4E71-9226-873BA0053139}" = Nero InfoTool
"5513-1208-7298-9440" = JDownloader 0.9
"7-Zip" = 7-Zip 4.57
"ABC Amber Audio Converter" = ABC Amber Audio Converter
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"BitTorrent" = BitTorrent
"Diablo II" = Diablo II
"Diablo III" = Diablo III
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Drakensang_is1" = Drakensang
"GnuPG" = GNU Privacy Guard
"Heroes of Might and Magic 3 Complete_is1" = Heroes of Might and Magic 3 Complete
"InstallShield_{152B782A-05F3-48EC-9AAC-4D3EB68D9E20}" = Quake 4(TM)
"Kyocera FS-1100 / FS-1300D Printer Library" = Kyocera FS-1100 / FS-1300D Printer Library
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Miranda IM" = Miranda IM 0.10.8
"MozBackup" = MozBackup 1.5.1
"Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de)
"Mozilla Thunderbird 17.0.4 (x86 de)" = Mozilla Thunderbird 17.0.4 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"PunkBusterSvc" = PunkBuster Services
"StarBurn_is1" = StarBurn Version 12r10 (Build 0x20091021)
"Starcraft" = Starcraft
"StarCraft II" = StarCraft II
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"TmNationsForever_is1" = TmNationsForever
"TrueCrypt" = TrueCrypt
"VLC media player" = VLC media player 2.0.2
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR 4.01 (32-Bit)
"World of Warcraft" = World of Warcraft
"WorldShift" = WorldShift
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater
"Dropbox" = Dropbox
"SOE-Magic The Gathering Tactics" = Magic The Gathering Tactics
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 24.03.2013 10:48:34 | Computer Name = EMMA-GOLDMAN | Source = ESENT | ID = 623
Description = wuaueng.dll (912) SUS20ClientDataStore: Der Versionsspeicher für Instanz
0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert eine lange
andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn.
Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein
vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange andauernde
Transaktion: Sitzungs-ID: 0x02690320 Sitzungskontext: 0x00000000 Thread-ID des Sitzungskontextes:
0x00000490
Error - 24.03.2013 10:49:01 | Computer Name = EMMA-GOLDMAN | Source = ESENT | ID = 623
Description = wuaueng.dll (912) SUS20ClientDataStore: Der Versionsspeicher für Instanz
0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert eine lange
andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn.
Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein
vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange andauernde
Transaktion: Sitzungs-ID: 0x02690320 Sitzungskontext: 0x00000000 Thread-ID des Sitzungskontextes:
0x00000490
Error - 24.03.2013 11:47:45 | Computer Name = EMMA-GOLDMAN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung SDScan.exe, Version 2.0.12.173, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 24.03.2013 13:49:54 | Computer Name = EMMA-GOLDMAN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung SDScan.exe, Version 2.0.12.173, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 24.03.2013 13:53:46 | Computer Name = EMMA-GOLDMAN | Source = ESENT | ID = 623
Description = wuaueng.dll (2400) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x026903C0 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x0000096C
Error - 24.03.2013 13:54:04 | Computer Name = EMMA-GOLDMAN | Source = ESENT | ID = 623
Description = wuaueng.dll (2400) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x026903C0 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x0000096C
Error - 25.03.2013 08:28:33 | Computer Name = EMMA-GOLDMAN | Source = ESENT | ID = 623
Description = wuaueng.dll (1588) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x026903C0 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x00000638
Error - 25.03.2013 08:29:08 | Computer Name = EMMA-GOLDMAN | Source = ESENT | ID = 623
Description = wuaueng.dll (1588) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x026903C0 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x00000638
Error - 25.03.2013 08:29:12 | Computer Name = EMMA-GOLDMAN | Source = ESENT | ID = 623
Description = wuaueng.dll (1588) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x02690320 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x00000638
Error - 25.03.2013 17:03:34 | Computer Name = EMMA-GOLDMAN | Source = ESENT | ID = 623
Description = wuaueng.dll (536) SUS20ClientDataStore: Der Versionsspeicher für Instanz
0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert eine lange
andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn.
Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein
vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange andauernde
Transaktion: Sitzungs-ID: 0x026903C0 Sitzungskontext: 0x00000000 Thread-ID des Sitzungskontextes:
0x000001F0
[ Spybot - Search and Destroy Events ]
Error - 24.03.2013 22:01:20 | Computer Name = EMMA-GOLDMAN | Source = SDCleaner | ID = 100
Description = LoadCleaningInstructions
Error - 25.03.2013 15:09:52 | Computer Name = EMMA-GOLDMAN | Source = SDCleaner | ID = 100
Description = LoadCleaningInstructions
Error - 25.03.2013 15:35:32 | Computer Name = EMMA-GOLDMAN | Source = SDCleaner | ID = 100
Description = LoadCleaningInstructions
Error - 25.03.2013 18:31:42 | Computer Name = EMMA-GOLDMAN | Source = SDCleaner | ID = 100
Description = LoadCleaningInstructions
Error - 25.03.2013 18:47:55 | Computer Name = EMMA-GOLDMAN | Source = SDCleaner | ID = 100
Description = LoadCleaningInstructions
[ System Events ]
Error - 25.03.2013 16:04:45 | Computer Name = EMMA-GOLDMAN | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 25.03.2013 16:04:45 | Computer Name = EMMA-GOLDMAN | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
Error - 25.03.2013 16:04:45 | Computer Name = EMMA-GOLDMAN | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD AmdPPM avipbb avkmgr Fips IPSec MRxSmb NetBIOS NetBT RasAcd Rdbss sptd ssmdrv Tcpip
Error - 25.03.2013 16:59:38 | Computer Name = EMMA-GOLDMAN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 25.03.2013 17:00:51 | Computer Name = EMMA-GOLDMAN | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D
2 Security Center Service.
Error - 25.03.2013 17:00:51 | Computer Name = EMMA-GOLDMAN | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1053
Error - 25.03.2013 17:00:54 | Computer Name = EMMA-GOLDMAN | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.
Error - 25.03.2013 19:01:18 | Computer Name = EMMA-GOLDMAN | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D
2 Security Center Service.
Error - 25.03.2013 19:01:18 | Computer Name = EMMA-GOLDMAN | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1053
Error - 25.03.2013 19:01:28 | Computer Name = EMMA-GOLDMAN | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.
< End of report >
Mit Dank schon im Voraus, Cheirpa Edit1: Ich weiß leider nicht wie man die Logs richtig postet, daher habe ich sie angehängt. Nun ist mir aufgefallen, dass man dies nur tun soll, falls darum gebeten wird. Leider ist mir auch unklar wie ich die (peinlicherweise ungezippten) Anhänge wieder entferne. Edit2: Ich hoffe ich habe die Logs nun richtige gepostet. Das mit den Anhängen ist mir weiterhin unklar. Geändert von cheirpa (26.03.2013 um 01:18 Uhr) |
|
26.03.2013, 03:05
| #2 |
| /// Helfer-Team  | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 wo sind denn die Meldungen von Spybot? 1. Deinstalliere Spybot. 2. Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers 3. Downloade Dir bitte  AdwCleaner auf deinen Desktop.
__________________ |
|
26.03.2013, 09:06
| #3 | ||
| | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Hallo t'john,
__________________zunächst einmal vielen lieben Dank für die schnelle Antwort und das Hilfeangebot - und natürlich für den netten Willkommensgruß. Ich muss gestehen, dass ich im morgendlichen Übereifer zunächst Spybot S&D 2 deinstalliert habe, bevor ich die Frage nach der Logdatei gelesen habe. Insofern kann ich diese zunächst nicht liefern. Soll ich Spybot nochmal installieren, damit ich die Logdatei hochladen kann? Anbei die Logdateien von Malwarebytes (zwei Stück) und Adwcleaner. Malwarebytes (1): Zitat:
Malwarebytes (2): Zitat:
Adwcleaner: AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.115 - Datei am 26/03/2013 um 08:57:13 erstellt
# Aktualisiert am 17/03/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : ***- EMMA-GOLDMAN
# Bootmodus : Normal
# Ausgeführt unter : H:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : H:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
Ordner Gelöscht : H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
Ordner Gelöscht : H:\Dokumente und Einstellungen\***\Eigene Dateien\widestream
Ordner Gelöscht : H:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\AskToolbar
Ordner Gelöscht : H:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\AskToolbar
Ordner Gelöscht : H:\Programme\Ask.com
Ordner Gelöscht : H:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Headlight
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\WideStream
Schlüssel Gelöscht : HKLM\SOFTWARE\14919ea49a8f3b4aa3cf1058d9a64cec
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\Software\Headlight
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\120DFADEB50841F408F04D2A278F9509
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B5BAE2ED018083A4C8DA86D6E3F4B024
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
***** [Internet Browser] *****
-\\ Internet Explorer v6.0.2900.5512
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v19.0.2 (de)
Datei : H:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ar08ror.default\prefs.js
Gelöscht : user_pref("browser.search.defaultengine", "Ask.com");
Gelöscht : user_pref("browser.search.defaultenginename", "Ask.com");
Gelöscht : user_pref("browser.search.order.1", "Ask.com");
Gelöscht : user_pref("extensions.SearchToolbar@skywebsearch.com.install-event-fired", true);
Gelöscht : user_pref("extensions.asktb.ff-original-keyword-url", "");
Gelöscht : user_pref("extensions.toolbar@ask.com.install-event-fired", true);
Gelöscht : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_u[...]
*************************
AdwCleaner[S1].txt - [8299 octets] - [26/03/2013 08:57:13]
########## EOF - H:\AdwCleaner[S1].txt - [8359 octets] ##########
Geändert von cheirpa (26.03.2013 um 09:17 Uhr) |
|
26.03.2013, 15:20
| #4 |
| /// Helfer-Team | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Sehr gut!  Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). danach: ESET Online Scanner
danach: Downloade Dir bitte  SecurityCheck und:
|
|
27.03.2013, 23:07
| #5 | |||||
| | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Hallo t'john, entschuldige bitte die Verzögerte Antwort. Ich war für einen Tag unterwegs und konnte daher nicht an meinen PC und deine Anweisungen ausführen. Hier nun die Logdateien: aswMBR: Zitat:
Bei ESET habe ich den Scan drei mal durchgeführt. Die ersten beiden Male habe ich abgebrochen, da ich jeweils vergessen hatte mein AVira bzw. meine Firewall auszustellen. ESET: Zitat:
Zitat:
Nach dem Drücken von "Abrechen" kam diese Logdatei heraus: Zitat:
Zitat:
Ich weiß nicht, ob und inwiefern sich diese zwei Logdateien unterscheiden (für mich ist das alles Spanisch). Ich hoffe ich habe keinen Fehler beim Ausführen gemacht. AVira und Firewall hatte ich bei SecurityCheck wieder angestellt. Lieben Gruß, Cheirpa |
|
29.03.2013, 21:22
| #6 |
| /// Helfer-Team | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 OK: Scan mit Combofix
__________________ --> Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 |
|
31.03.2013, 16:58
| #7 |
| | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Hallo t'john, ich habe nun ComboFix heruntergeladen, die Wiederherstellungskonsole installiert und den Scan gestartet. Nach 10 Minuten des Scanens ist allerdings mein Bildschirmschoner angesprungen und ich musste mich bei meinem (Windows) Benutzerkonto neu anmelden um zu meinem Desktop zurück zu gelangen (und habe dann den Bildschirmschoner dort manuell abgeschaltet). Seitdem scant ComboFix seit über 4 Stunden und kommt nicht über die Bildschirmnachricht "Suche nach infizierten Dateien .... Dies dauert normalerweise nicht länger als 10 Minuten. Die Scanzeit für stark infizierte Rechner kann sich leicht verdoppeln. _" (Der "_" blinkt) Daraufhin wollte ich den Scan abbrechen und erneut starten, da ich dachte, dass ComboFix sich vielleicht wegen des Anspringens des Bildschirmschoners und meines manuellen Ausschaltens eben diesens aufgehängt hätte. Nach dem einmaligen drücken des "Schließen" (X) Buttons bei ComboFix passierte jedoch nichts. Das oben beschriebene Fenster ist also weiter in unveränderter Form vorhanden (der "_" blinkt auch weiter). Ich haben nun (nachdem das Programm 4:45 Stunden Scanzeit überschritten hat) den Neustart (Über Start -> Neustarten) versucht, aber der Computer führt diesen nicht aus und zeigt weiterhin das beschriebene Fenster. Ich befürchte mit jeder weiteren Aktion nur noch mehr Fehler zu machen und lasse daher erstmal den PC einfach so weiter laufen und werde mich erst wieder mit ihm beschäftigen bis mir das von hier aus geraten wurde, da ComboFix es ja in sich zu haben scheint. Über einen Tipp würde ich mich sehr freuen - falls sich etwas an der Situation ändern sollte werde ich das hier mitteilen. Viele Grüße und Frohe Osterzeit, Cheirpa P.s.: Ich schreibe diesen Eintrag nicht von meinem betroffenen PC (auf dem ja ComboFix derzeit weiterläuft), sondern von einem anderen Laptop Geändert von cheirpa (31.03.2013 um 17:27 Uhr) |
|
01.04.2013, 14:36
| #8 |
| /// Helfer-Team | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Versuche Combofix im abgesicherten Modus zu starten. |
|
04.04.2013, 12:59
| #9 | |
| | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Nach vielen Versuchen kann ich jetzt mit an Sicherheit grenzender Warscheinlichkeit sagen, dass Combofix bei mir nicht zu funktionieren scheint. Ich habe das Programm sowohl im normalen als auch im Abgesicherten Modus laufen lassen (zwischen 1 und 7 Stunden bzw. über die ganze Nacht hinweg), dabei kam es nie über den oben beschriebenen Bildschirm hinaus: Zitat:
Meine Firewall war immer ausgeschaltet. Ich bin mir ziemlich sicher Combofix immer von einem Konto mit Administratorenrechten aus gestartet zu haben. Ich habe nie am Rechner gearbeitet oder die Maus bewegt/benutzt. Gibt es weitere Fehler die mir unterlaufen sein könnten? Auf Grund dieser Problematik kann ich leider immernoch nicht die Combofix.txt Datei anhängen, da das Programm nie bis zu diesem Schritt kommt (und ich immer den Rechner über den Power-Knopf ausschalten musste). Edit: Was vielleicht noch zu erwähnen ist: Nachdem ich die Wiederherstellungskonsole durch Combofix installiert habe muss ich nachdem ich den "abgesicherten Modus" bei PC-Hochfahren noch einmal in einem Menü eine Auswahl treffen. Dabei ist die einzige wirkliche Wahlmöglichkeit "Windows XP Professional" (da die Restwahlmöglichkeiten entweder "Recovery" oder so bzw. "not recommended" oder so lautem). Ich bin mir nicht sicher, ob dieser Faktor relevant ist, wollte es jedoch nicht unter den Tisch fallen lassen. Geändert von cheirpa (04.04.2013 um 13:12 Uhr) |
|
04.04.2013, 15:16
| #10 |
| /// Helfer-Team | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Alles Windows Updates einspielen, inkl. Internet Explorer! http://windowsupdate.microsoft.com dann: Starte normal und mache ein frisches OTL Log Systemscan mit OTL (bebilderte Anleitung) Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe
|
|
04.04.2013, 16:49
| #11 | ||
| | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Leider kann ich schon wieder die Anweisungen nicht ausführen. Bei dem Versuch über die Windows-Update-Seite Updates über die Schaltfläche "Benutzerdefinierte Suche" (aber auch bei "Schnellsuche" ist dies passiert) kam nach Kürze nur dieser Text als Ergebnis heraus: Zitat:
Ich habe: 1) die Seite mit InternetExplorer (Dateiversion: 6.0.2900.5512) aufgerufen 2) im InternetExplorer unter Extras -> Internetoptionen -> Sicherheit die Sicherheitsstufe auf Standart gesetzt 3) die Windows-Update-Seite ebenfalls unter Extras -> Internetoptionen -> Sicherheit (bei Vertrauenswürdige Sites) als vertrauenswürdige Site eingetragen 4) mein AVira deaktiviert 5) nach den misslungenen Updateversuchen den InternetExplorer geschlossen und jeweils über 15 Minuten bis zum neuen Versuch abgewartet Ich weiß nicht ob dies benötigt wird (und ob es überhaupt ein Auszug aus der richtigen Datein ist), aber hier einer der vielen (auf den ersten Blick alle identischen) Auszüge aus der Datei H:/Windows/WindowsUpdate.txt: Zitat:
Edit: Die Windows-Firewall habe ich bei den Update Versuchen nicht ausgestellt, da ich nicht annahm, dass diese ein WindowsUpdate blockieren würde. Geändert von cheirpa (04.04.2013 um 16:56 Uhr) |
|
04.04.2013, 18:08
| #12 |
| /// Helfer-Team | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Windows Repair Tool (AIO)
|
|
04.04.2013, 18:40
| #13 | |
| | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Habe das Windows repair tool ausgeführt. Allerdings hatte ich dabei mein AVira noch an, da ich den Hinweis, dass ich mein Antivirenprogramm ausschalten solle (im tool ganz am Ende stand es) übersehen hatte. Hier das Log (hoffe es ist das richtige, es war das einzige im Ordner "Logs"): Zitat:
|
|
05.04.2013, 05:45
| #14 |
| /// Helfer-Team | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Bitte Update nochmal versuchen. |
|
10.04.2013, 12:53
| #15 |
| | Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 Hallo t'john, entschuldige bitte erneut die lange Antwortdauer. Ich war über das Wochenende nicht zuhause. Windowsupdates haben funktioniert - meine automatischen Windowsupdates laufen auch wieder von selber. Soll ich nun OTL Scannen lassen? |
|
| Themen zu Möglicher Keylogger & 10.000 Malware-Meldungen bei Spybot2 |
| 7-zip, abgesicherten, account, anhang, avira, e-mail, entfernen, gen, gesendet, geändert, gmer, jdownloader, keylogger, malwarebytes, modus, nichts, plug-in, problem, rechner, refresh, required, safer networking, scan, scannen, scanner, seite, spammail, spybot, system, virenscan, virenscanner |
AEMON Tools Lite -> Removed
WARNUNG an die MITLESER: 
Linear-Darstellung
