Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: malware lässt sich nicht löschen!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.05.2013, 21:26   #1
gummibaum
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



huhu,

mein windows 7 läuft seit 2010 ohne probleme.nie einen virus oder so gehabt.
jetzt hab ich aber direkt mehrere nach dem download sehr alter treiber für den laptop eines bekannten.

antivir erkennt immer 1-3 aktive malware und zeigt mir auch ununterbrochen die meldung das ein virus in irgendeiner .exe datei gefunden wurde.lösche ich diesen,kommt direkt eine neue meldung.

malwarebytes antimalware findet 9 dateien,ist aber auch nicht in der lage diese zu löschen.

ich hab die aktuelle version geladen(meine testphase ist aber schon vorbei),habe im abgesichtertem modus gestartet,netzwerkkabel abgemacht und einen kompletten scan durchgeführt.

mir wurde gesagt die 9 dinger wurden gelöscht...ich starte windows neu aber nix hat sich geändert.antivir gibt mir trotzdem eine meldung nach der anderen.

ihr werdet verstehen das ich windows nur sehr sehr ungern neuinstalliere da ich das system so wie es jetzt ist nun schon über 3 jahre nutze...da ich erst 1 mal probleme mit viren hatte weiß ich jetzt nicht so ganz wie ich am besten vorgehen sollte.

deßhalb bitte ich um eure hilfe.ich benutze nur die free version von antivir.

ich vertrau auf euer wissen über solche viren,ich kann mir da leider nicht selbst helfen

Alt 13.05.2013, 21:37   #2
t'john
/// Helfer-Team
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!





Bitte das Malwarebytes-Logfile posten, das du schon gemacht hast!
(Reiter Logdateien)



Log von Antivir erstellen: http://www.trojaner-board.de/125889-...en-posten.html



Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 13.05.2013, 22:39   #3
gummibaum
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



ich kann nicht antworten da der text zu lang ist....der log von antivir ist auch extrem lang...soll ich sie als rar datei hochladen?
__________________

Alt 13.05.2013, 22:40   #4
t'john
/// Helfer-Team
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



ja!
__________________
Mfg, t'john
Das TB unterstützen

Alt 13.05.2013, 22:42   #5
gummibaum
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



hallo t'john

danke für die schnelle antwort.hier die logs:

antimalware:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.08.04

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus)
Internet Explorer 10.0.9200.16540
WeAreOne :: GAGAGA [Administrator]

13.05.2013 14:39:15
mbam-log-2013-05-13 (14-39-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|J:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 530269
Laufzeit: 1 Stunde(n), 6 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|IExplorer Util (Trojan.Agent) -> Daten: C:\Users\WeAreOne\AppData\Roaming\ie_util.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winlogon (Malware.Trace) -> Daten: "C:\Users\WeAreOne\AppData\Roaming\winlogon\CCleanerstartup.bat" -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 11
C:\Users\WeAreOne\mamwiodcisgyo.exe (Trojan.VBAgent.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\WeAreOne\AppData\Local\Temp\1352998478.exe (Trojan.BitMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\WeAreOne\AppData\Local\Temp\hfgTy68dddd.tmp.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\WeAreOne\AppData\Local\Temp\jar_cache3949833069030225669.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\WeAreOne\AppData\Local\Temp\vgafxjg (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\39c9baf4-44d64fdc (Trojan.Ransom.BP) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\WeAreOne\AppData\Roaming\skype.dat (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\WeAreOne\AppData\Roaming\winlogon\scvhost.exe (Trojan.BitMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\000000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\WeAreOne\AppData\Roaming\ie_util.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\WeAreOne\AppData\Roaming\winlogon\CCleanerstartup.bat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
beide OTL:

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 13.05.2013 22:14:52 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\WeAreOne\Desktop
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.10.9200.16540)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4.00 Gb Total Physical Memory | 2.23 Gb Available Physical Memory | 55.86% Memory free
12.00 Gb Paging File | 9.99 Gb Available in Paging File | 83.28% Paging File free
Paging file location(s): d:\pagefile.sys 4096 6114e:\pagef [Binary data over 200 bytes]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 40.00 Gb Total Space | 3.84 Gb Free Space | 9.60% Space Free | Partition Type: NTFS
Drive D: | 109.05 Gb Total Space | 20.81 Gb Free Space | 19.08% Space Free | Partition Type: NTFS
Drive E: | 127.99 Gb Total Space | 34.95 Gb Free Space | 27.30% Space Free | Partition Type: NTFS
 
Computer Name: GAGAGA | User Name: WeAreOne | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\WeAreOne\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_7_700_169.exe (Adobe Systems, Inc.)
PRC - C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe (Uniblue Systems Ltd)
PRC - C:\Program Files (x86)\RealNetworks\RealDownloader\rndlresolversvc.exe ()
PRC - C:\Windows\SysWOW64\PnkBstrA.exe ()
PRC - C:\Program Files (x86)\MOTU\Audio\MFWAKeys.exe ()
PRC - C:\Program Files (x86)\M-Audio\Oxygen\AudioDevMon.exe (M-Audio)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_169.dll ()
MOD - C:\Program Files (x86)\Mozilla Firefox\mozjs.dll ()
MOD - C:\Program Files (x86)\MOTU\Audio\MFWAKeys.exe ()
MOD - \\?\globalroot\systemroot\syswow64\mswsock.DLL ()
MOD - \\.\globalroot\systemroot\syswow64\mswsock.dll ()
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (HiPatchService) -- D:\TribesAscend\HiPatchService.exe (Hi-Rez Studios)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (nvUpdatusService) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (RealNetworks Downloader Resolver Service) -- C:\Program Files (x86)\RealNetworks\RealDownloader\rndlresolversvc.exe ()
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (wlidsvc) -- C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.)
SRV - (SkypeUpdate) -- C:\Program Files (x86)\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (Sony Ericsson PCCompanion) -- C:\Program Files (x86)\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe (Avanquest Software)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (OxygenAudioDevMon) -- C:\Program Files (x86)\M-Audio\Oxygen\AudioDevMon.exe (M-Audio)
SRV - (npggsvc) -- C:\Windows\SysWOW64\GameMon.des (INCA Internet Co., Ltd.)
SRV - (FLEXnet Licensing Service) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira Operations GmbH & Co. KG)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG)
DRV:64bit: - (avkmgr) -- C:\Windows\SysNative\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG)
DRV:64bit: - (usb_rndisx) -- C:\Windows\SysNative\drivers\usb8023x.sys (Microsoft Corporation)
DRV:64bit: - (NVHDA) -- C:\Windows\SysNative\drivers\nvhda64v.sys (NVIDIA Corporation)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (MOUSECONTROLLER) -- C:\Windows\SysNative\drivers\AIMON.sys (Windows (R) Win 7 DDK provider)
DRV:64bit: - (ggsemc) -- C:\Windows\SysNative\drivers\ggsemc.sys (Sony Ericsson Mobile Communications)
DRV:64bit: - (ggflt) -- C:\Windows\SysNative\drivers\ggflt.sys (Sony Ericsson Mobile Communications)
DRV:64bit: - (motubus) -- C:\Windows\SysNative\drivers\motubus64.sys (Mark of the Unicorn)
DRV:64bit: - (MFWAMIDI64) -- C:\Windows\SysNative\drivers\mfwamidi64.sys (Mark of the Unicorn)
DRV:64bit: - (MotuFWA64) -- C:\Windows\SysNative\drivers\MotuFWA64.sys (Mark of the Unicorn)
DRV:64bit: - (MFWAWAVE64) -- C:\Windows\SysNative\drivers\mfwawave64.sys (Mark of the Unicorn)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (MotioninJoyXFilter) -- C:\Windows\SysNative\drivers\MijXfilt.sys (MotioninJoy)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (RdpVideoMiniport) -- C:\Windows\SysNative\drivers\rdpvideominiport.sys (Microsoft Corporation)
DRV:64bit: - (cpuz135) -- C:\Windows\SysNative\drivers\cpuz135_x64.sys (CPUID)
DRV:64bit: - (xusb21) -- C:\Windows\SysNative\drivers\xusb21.sys (Microsoft Corporation)
DRV:64bit: - (ScreamBAudioSvc) -- C:\Windows\SysNative\drivers\ScreamingBAudio64.sys (Screaming Bee LLC)
DRV:64bit: - (USBAAPL64) -- C:\Windows\SysNative\drivers\usbaapl64.sys (Apple, Inc.)
DRV:64bit: - (OXYGEN) -- C:\Windows\SysNative\drivers\MAudioOxygen.sys (M-Audio)
DRV:64bit: - (taphss) -- C:\Windows\SysNative\drivers\taphss.sys (AnchorFree Inc)
DRV:64bit: - (Tpkd) -- C:\Windows\SysNative\drivers\Tpkd.sys (PACE Anti-Piracy, Inc.)
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV:64bit: - (sptd) -- C:\Windows\SysNative\drivers\sptd.sys ()
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek                                            )
DRV:64bit: - (VCSVADHWSer) -- C:\Windows\SysNative\drivers\vcsvad.sys (Avnex)
DRV:64bit: - (adfs) -- C:\Windows\SysNative\drivers\adfs.sys (Adobe Systems, Inc.)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
DRV - (libusb0) -- C:\Windows\SysWOW64\drivers\libusb0.sys (hxxp://libusb-win32.sourceforge.net)
DRV - (WEBNTACCESS) -- C:\Windows\SysWOW64\Ntaccess.sys (Your Corporation)
DRV - (NPPTNT2) -- C:\Windows\SysWOW64\npptNT2.sys (INCA Internet Co., Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
IE - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = C8 53 96 6A EA C5 CA 01  [binary data]
IE - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;192.168.*.*
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..browser.startup.homepage: "hxxp://google.de"
FF - prefs.js..extensions.enabledAddons: %7Bbab31fc4-cb97-46f4-9565-26d65225cc2c%7D:3.18.0.7
FF - prefs.js..extensions.enabledAddons: %7B23fcfd51-4958-4f00-80a3-ae97e717ed8b%7D:2.1.2.172
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0.1
FF - prefs.js..extensions.enabledItems: {bab31fc4-cb97-46f4-9565-26d65225cc2c}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {241aae70-0022-11de-87af-0800200c9a66}:3.6.30.01.10
FF - prefs.js..extensions.enabledItems: {c8f71e5b-88f8-42a7-98bb-e4c506161de9}:0.4
FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties"
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_169.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\Windows\system32\npDeployJava1.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_169.dll ()
FF - HKLM\Software\MozillaPlugins\@bittorrent.com/BitTorrentDNA: C:\Program Files (x86)\DNA\plugins\npbtdna.dll (BitTorrent, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.0: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.4: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll (ESN Social Software AB)
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.102.0: C:\Program Files (x86)\Battlelog Web Plugins\1.102.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.122.0: C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll (ESN Social Software AB)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=16.4.3505.0912: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nexon.net/NxGame: C:\ProgramData\NexonUS\NGM\npNxGameUS.dll File not found
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=16.0.0.282: c:\program files (x86)\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprndlchromebrowserrecordext;version=1.3.0: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprndlhtml5videoshim;version=1.3.0: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprndlpepperflashvideoshim;version=1.3.0: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpplugin;version=16.0.0.282: c:\program files (x86)\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer)
FF - HKLM\Software\MozillaPlugins\@realnetworks.com/npdlplugin;version=1: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.2: C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{34712C68-7391-4c47-94F3-8F88D49AD632}: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\ [2013.02.13 22:54:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext [2013.02.13 22:54:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2013.02.19 18:23:57 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.04.12 06:50:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.04.12 06:50:04 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.04.12 06:50:07 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.04.12 06:50:04 | 000,000,000 | ---D | M]
 
[2009.10.29 23:01:55 | 000,000,000 | ---D | M] (No name found) -- C:\Users\WeAreOne\AppData\Roaming\mozilla\Extensions
[2013.05.13 20:01:30 | 000,000,000 | ---D | M] (No name found) -- C:\Users\WeAreOne\AppData\Roaming\mozilla\Firefox\Profiles\xlr68n8o.default\extensions
[2013.05.13 20:01:13 | 000,000,000 | ---D | M] (fearfm) -- C:\Users\WeAreOne\AppData\Roaming\mozilla\Firefox\Profiles\xlr68n8o.default\extensions\{220f209a-e2cf-4733-bb53-0730a3374af7}
[2013.04.29 23:31:43 | 000,000,000 | ---D | M] (Blue Fox) -- C:\Users\WeAreOne\AppData\Roaming\mozilla\Firefox\Profiles\xlr68n8o.default\extensions\{241aae70-0022-11de-87af-0800200c9a66}
[2013.02.10 05:50:32 | 000,000,000 | ---D | M] (harder-styles Community Toolbar) -- C:\Users\WeAreOne\AppData\Roaming\mozilla\Firefox\Profiles\xlr68n8o.default\extensions\{bab31fc4-cb97-46f4-9565-26d65225cc2c}
[2010.07.23 19:42:34 | 000,000,000 | ---D | M] (AmbientFox) -- C:\Users\WeAreOne\AppData\Roaming\mozilla\Firefox\Profiles\xlr68n8o.default\extensions\{c8f71e5b-88f8-42a7-98bb-e4c506161de9}
[2013.05.13 20:01:30 | 000,000,000 | ---D | M] (BrowseToolE0193) -- C:\Users\WeAreOne\AppData\Roaming\mozilla\Firefox\Profiles\xlr68n8o.default\extensions\{e36df325-3f4b-476f-8f89-123bc5d51a30}
[2010.07.23 00:22:29 | 000,001,054 | ---- | M] () -- C:\Users\WeAreOne\AppData\Roaming\mozilla\firefox\profiles\xlr68n8o.default\searchplugins\conduit.xml
[2013.04.12 06:50:03 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2013.02.19 18:23:57 | 000,000,000 | ---D | M] (No name found) -- C:\PROGRAM FILES (X86)\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\DIVXHTML5
[2013.04.12 06:50:07 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011.05.04 04:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2013.02.13 22:53:37 | 000,124,056 | ---- | M] (RealPlayer) -- C:\Program Files (x86)\mozilla firefox\plugins\nprpplugin.dll
[2012.06.25 02:44:44 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.02 12:59:36 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.06.25 02:44:44 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.25 02:44:44 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.25 02:44:44 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.25 02:44:44 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.18 04:08:08 | 000,000,859 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 5.21.210.147 mercs2-pc.fesl.ea.com
O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2:64bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found.
O2 - BHO: (RealNetworks Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (DivX, LLC)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [TkBellExe] c:\program files (x86)\real\realplayer\Update\realsched.exe (RealNetworks, Inc.)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001..\Run: [DS3 Tool] C:\Program Files\MotioninJoy\ds3\DS3_Tool.exe -mini File not found
O4 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001..\Run: [Fielihyza] C:\Users\WeAreOne\AppData\Roaming\Byicex\zeol.exe (Mandiant)
O4 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001..\Run: [Kuykixk] C:\Users\WeAreOne\AppData\Roaming\Ebyd\yhba.exe (Mandiant)
O4 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001..\Run: [SkypeM] C:\Users\WeAreOne\AppData\Local\Skype\Skype.exe File not found
O4 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001..\Run: [Uzypasl] C:\Users\WeAreOne\AppData\Roaming\Acyt\ibwao.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\WeAreOne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra Button: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files (x86)\ICQ7.6\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files (x86)\ICQ7.6\ICQ.exe (ICQ, LLC.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000008 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000009 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O15 - HKU\.DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-19\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..Trusted Domains: com.tw ([asia.msi] http in Trusted sites)
O15 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..Trusted Domains: com.tw ([global.msi] http in Trusted sites)
O15 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..Trusted Domains: com.tw ([www.msi] http in Trusted sites)
O15 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001\..Trusted Domains: sony.com ([]* in Trusted sites)
O16 - DPF: {2EDF75C0-5ABD-49f9-BAB6-220476A32034} hxxp://intel-drv-cdn.systemrequirementslab.com/multi/bin/sysreqlab_srlx.cab (System Requirements Lab Class)
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} hxxp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab (NVIDIA Smart Scan)
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab (WebSDev Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2D748EA0-8AB1-42D1-879D-6CE5D5088A02}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AB032719-A8E1-4F64-8AC6-4353E5D93651}: DhcpNameServer = 192.168.42.129
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FB6A351E-2FF0-4348-8468-A7124FCCBCBF}: DhcpNameServer = 192.168.42.129
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{157fb446-bf10-11e0-a7aa-0021850edf74}\Shell - "" = AutoRun
O33 - MountPoints2\{157fb446-bf10-11e0-a7aa-0021850edf74}\Shell\AutoRun\command - "" = G:\Startme.exe
O33 - MountPoints2\{abd90c37-adcf-11e2-b5f9-0021850edf74}\Shell - "" = AutoRun
O33 - MountPoints2\{abd90c37-adcf-11e2-b5f9-0021850edf74}\Shell\AutoRun\command - "" = G:\.\Autorun.exe AUTORUN=1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.05.13 22:12:23 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\WeAreOne\Desktop\OTL.exe
[2013.05.13 21:01:45 | 004,745,728 | ---- | C] (AVAST Software) -- C:\Users\WeAreOne\Desktop\aswMBR.exe
[2013.05.13 18:52:44 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\IObit
[2013.05.13 18:52:44 | 000,000,000 | ---D | C] -- C:\ProgramData\IObit
[2013.05.13 18:51:27 | 018,630,464 | ---- | C] (IObit                                                       ) -- C:\Users\WeAreOne\Desktop\imf-setup_1.7.0.1.exe
[2013.05.13 03:12:29 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\winlogon
[2013.05.12 05:56:14 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\Ruicd
[2013.05.12 05:56:14 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\Gesugi
[2013.05.12 05:56:14 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\Byicex
[2013.05.11 23:54:46 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\Koogag
[2013.05.11 23:54:46 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\Imup
[2013.05.11 23:54:46 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\Ebyd
[2013.05.07 14:31:10 | 000,083,160 | ---- | C] (Avira GmbH) -- C:\Windows\SysNative\drivers\avnetflt.sys
[2013.05.06 23:58:54 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\Qyudyh
[2013.05.06 23:58:53 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\Uqxed
[2013.05.06 23:58:53 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\Acyt
[2013.05.06 23:45:21 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\TERA
[2013.04.17 01:45:28 | 000,691,592 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerApp.exe
[2013.04.16 03:06:01 | 000,071,048 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2013.04.16 02:36:13 | 000,310,688 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\javaws.exe
[2013.04.16 02:36:06 | 000,188,832 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\javaw.exe
[2013.04.16 02:36:06 | 000,188,320 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\java.exe
[2013.04.16 02:36:06 | 000,108,448 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\WindowsAccessBridge-64.dll
[2013.04.16 02:36:01 | 000,000,000 | ---D | C] -- C:\Program Files\Java
[7 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.05.13 22:12:24 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\WeAreOne\Desktop\OTL.exe
[2013.05.13 21:56:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.05.13 21:33:15 | 000,000,512 | ---- | M] () -- C:\Users\WeAreOne\Desktop\MBR.dat
[2013.05.13 21:03:11 | 004,745,728 | ---- | M] (AVAST Software) -- C:\Users\WeAreOne\Desktop\aswMBR.exe
[2013.05.13 18:51:41 | 018,630,464 | ---- | M] (IObit                                                       ) -- C:\Users\WeAreOne\Desktop\imf-setup_1.7.0.1.exe
[2013.05.13 15:53:34 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.05.13 15:53:34 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.05.13 15:53:00 | 001,642,038 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.05.13 15:53:00 | 000,707,300 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.05.13 15:53:00 | 000,660,918 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.05.13 15:53:00 | 000,152,892 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.05.13 15:53:00 | 000,125,108 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.05.13 15:48:21 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\dsmonitor.job
[2013.05.13 15:47:59 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.05.13 15:47:54 | 3220,672,512 | -HS- | M] () -- C:\hiberfil.sys
[2013.05.13 03:14:36 | 000,000,004 | ---- | M] () -- C:\Users\WeAreOne\AppData\Roaming\skype.ini
[2013.05.11 23:48:56 | 004,649,757 | ---- | M] () -- C:\Users\WeAreOne\Desktop\Jasper Forks - River Flows In You 2012 (Radio Edit)__www.HoTneWsongS.cekuj.net.mp3
[2013.05.08 16:43:55 | 000,001,113 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.05.07 14:30:55 | 000,083,160 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avnetflt.sys
[2013.05.06 16:51:38 | 009,684,113 | ---- | M] () -- C:\Users\WeAreOne\Desktop\201 - Pink & Nate Ruess - Just Give Me A Reason - (www.KOmp3.net).mp3
[2013.05.05 04:51:00 | 000,000,468 | ---- | M] () -- C:\Windows\tasks\Driver Robot.job
[2013.04.17 01:45:28 | 000,691,592 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerApp.exe
[2013.04.17 01:45:28 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2013.04.16 02:36:02 | 001,085,344 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\npDeployJava1.dll
[2013.04.16 02:36:02 | 000,963,488 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\deployJava1.dll
[2013.04.16 02:36:02 | 000,310,688 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaws.exe
[2013.04.16 02:36:02 | 000,188,832 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaw.exe
[2013.04.16 02:36:02 | 000,188,320 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\java.exe
[2013.04.16 02:36:02 | 000,108,448 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\WindowsAccessBridge-64.dll
[7 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.05.13 21:33:15 | 000,000,512 | ---- | C] () -- C:\Users\WeAreOne\Desktop\MBR.dat
[2013.05.13 03:13:04 | 000,000,004 | ---- | C] () -- C:\Users\WeAreOne\AppData\Roaming\skype.ini
[2013.05.08 16:43:55 | 000,001,113 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.04.17 01:45:30 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.02.21 21:35:30 | 000,000,172 | ---- | C] () -- C:\Windows\WININIT.INI
[2011.12.27 23:41:02 | 000,000,056 | ---- | C] () -- C:\Users\WeAreOne\AppData\Roaming\MOTU FireWire SMPTE Prefs.prefs
[2011.10.14 22:36:57 | 000,042,581 | ---- | C] () -- C:\Windows\War3Unin.dat
[2011.09.28 18:44:14 | 000,179,271 | ---- | C] () -- C:\Windows\SysWow64\xlive.dll.cat
[2011.07.24 08:29:34 | 000,003,584 | ---- | C] () -- C:\Users\WeAreOne\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.07.24 00:45:45 | 000,000,031 | ---- | C] () -- C:\Windows\Q3CDKey.ini
[2011.07.24 00:40:25 | 000,000,404 | ---- | C] () -- C:\Windows\QIII.INI
[2011.05.31 08:39:50 | 000,058,368 | ---- | C] () -- C:\Windows\SysWow64\bdmpegv.dll
[2011.05.31 08:38:18 | 000,015,360 | ---- | C] () -- C:\Windows\SysWow64\bdmjpeg.dll
[2010.12.08 18:16:18 | 000,000,096 | ---- | C] () -- C:\Users\WeAreOne\AppData\Local\fusioncache.dat
[2010.08.26 02:28:48 | 000,000,287 | ---- | C] () -- C:\Users\WeAreOne\SciTE.session
[2010.06.23 00:07:09 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.04.16 21:55:47 | 000,000,194 | ---- | C] () -- C:\Users\WeAreOne\bcedit.cfg
[2010.03.23 22:40:07 | 000,000,040 | ---- | C] () -- C:\ProgramData\ra3.ini
[2010.03.04 17:30:46 | 000,000,000 | -H-- | C] () -- C:\Users\WeAreOne\AppData\Roaming\.08976A4432414DDE.sys
[2009.11.16 23:52:16 | 000,007,605 | ---- | C] () -- C:\Users\WeAreOne\AppData\Local\Resmon.ResmonCfg
 
========== ZeroAccess Check ==========
 
[2011.11.17 08:41:18 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\@
[2013.05.13 14:35:10 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\L
[2013.05.13 21:08:15 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U
[2013.05.13 15:48:00 | 000,000,804 | ---- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\L\00000004.@
[2013.05.13 03:09:43 | 000,002,048 | ---- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\00000004.@
[2013.05.13 03:09:43 | 000,001,024 | ---- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\00000008.@
[2013.05.13 19:56:52 | 000,001,632 | ---- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\000000cb.@
[2013.05.13 03:14:04 | 000,015,360 | ---- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\80000000.@
[2013.05.13 21:08:14 | 000,090,624 | ---- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\80000032.@
[2013.05.13 21:08:15 | 000,077,312 | ---- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\80000064.@
[2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
[2013.05.13 15:47:58 | 000,004,608 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
[2013.05.13 15:47:58 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 07:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 247 bytes -> C:\Windows\pOOrGUI:Source Setup Log.txt
@Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:D06A4C76

< End of report >
         
--- --- ---


OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 13.05.2013 22:14:52 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\WeAreOne\Desktop
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.10.9200.16540)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4.00 Gb Total Physical Memory | 2.23 Gb Available Physical Memory | 55.86% Memory free
12.00 Gb Paging File | 9.99 Gb Available in Paging File | 83.28% Paging File free
Paging file location(s): d:\pagefile.sys 4096 6114e:\pagef [Binary data over 200 bytes]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 40.00 Gb Total Space | 3.84 Gb Free Space | 9.60% Space Free | Partition Type: NTFS
Drive D: | 109.05 Gb Total Space | 20.81 Gb Free Space | 19.08% Space Free | Partition Type: NTFS
Drive E: | 127.99 Gb Total Space | 34.95 Gb Free Space | 27.30% Space Free | Partition Type: NTFS
 
Computer Name: GAGAGA | User Name: WeAreOne | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html[@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-2752304810-4254248345-3529142224-1001\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "%systemroot%\system32\rundll32.exe" "%systemroot%\system32\mshtml.dll",PrintHTML "%1"
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "%systemroot%\system32\rundll32.exe" "%systemroot%\system32\mshtml.dll",PrintHTML "%1"
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- Reg Error: Value error.
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{1D8E6291-B0D5-35EC-8441-6616F567A0F7}" = Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219
"{25613C10-27D2-410B-942B-D922D5C3A7BE}" = Interlok driver setup x64
"{26A24AE4-039D-4CA4-87B4-2F86417017FF}" = Java 7 Update 17 (64-bit)
"{43E7798A-248E-4A3D-9969-FEA63543A462}" = Native Instruments Kontakt 4
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{8338783A-0968-3B85-AFC7-BAAE0A63DC50}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8E34682C-8118-31F1-BC4C-98CD9675E1C2}" = Microsoft .NET Framework 4 Extended
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{aac9fcc4-dd9e-4add-901c-b5496a07ab2e}" = Microsoft Visual C++ 2005 Redistributable (x64) - KB2467175
"{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 314.07
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 314.07
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.12.1031
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.12.12
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver" = NVIDIA HD-Audiotreiber 1.3.23.1
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B52D5EDB-1945-4889-8F25-DEA1F9CD876A}" = M-Audio Oxygen Driver 1.3.0 (x64)
"{B6E3757B-5E77-3915-866A-CCFC4B8D194C}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x64 8.0.50727.4053
"{BE974D66-9E56-449D-8FD9-B2FBF0A9F2CE}" = MOTU Hardware
"{CE52672C-A0E9-4450-8875-88A221D5CD50}" = Windows Live ID Sign-in Assistant
"{E9FA781F-3E80-4399-825A-AD3E11C28C77}" = MSVCRT110_amd64
"{EE936C7A-EA40-31D5-9B65-8E3E089C3828}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"CPUID CPU-Z_is1" = CPUID CPU-Z 1.58
"CPUID HWMonitor_is1" = CPUID HWMonitor 1.19
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"WinRAR archiver" = WinRAR
"z3ta+_x86_is1" = rgc:audio z3ta+ 1.5
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{03CC9D58-B132-4CC0-A521-4F3660AA43C7}" = Movie Maker
"{0454BB9A-2A7A-4214-BDFF-937F7A711A44}" = Windows Live Communications Platform
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3
"{064DC64E-7A2F-4FDF-B598-E3C0747BBB9C}" = Call of Duty(R) - World at War(TM) 1.6 Patch
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{1170D24F-42B7-40CF-AA1B-6395CE562354}" = Gears of War
"{153C7D89-9CF4-4719-A551-C5BF45236DB5}" = redist
"{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin
"{19BFDA5D-1FE2-4F25-97F9-1A79DD04EE20}" = Microsoft XNA Framework Redistributable 3.1
"{1C08A24C-B168-407E-A826-68FAF5F20710}" = Age of Empires III - The WarChiefs
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java(TM) 6 Update 26
"{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}" = RealUpgrade 1.1
"{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3
"{29F05234-DCBB-4FE0-88DC-5160C9250312}" = Adobe Photoshop CS3
"{2BF0AE92-C3BC-4112-9066-1546342B1FAE}" = Call of Duty(R) - World at War(TM) 1.2 Patch
"{30F99474-EBE3-4134-A02B-F6CD38CFE243}" = Photo Gallery
"{3C87E0FF-BC0A-4F5E-951B-68DC3F8DF010}" = Tribes Ascend
"{3C87E0FF-BC0A-4F5E-951B-68DC3F8DF1FC}" = Hi-Rez Studios Authenticate and Update Service
"{3CBD94C1-BA15-488C-888B-D8DD296CC6DC}" = Fotogalerie
"{45410935-B52C-468A-A836-0D1000018201}" = BulletStorm
"{45410935-B52C-468A-A836-0D1000018202}" = BulletStorm
"{490BF87E-1F75-4453-BF55-9F540543A3CA}" = Steinberg Drum Loop Expansion 01
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4A19D6AC-ADE0-4A07-80FF-9C9812C45557}" = Steinberg Cubase 5
"{4CB0307C-565E-4441-86BE-0DF2E4FB828C}" = Microsoft Games for Windows Marketplace
"{4CCBD1F4-CEEC-452A-9CB8-46564B501315}" = Windows Live UX Platform
"{4D454CF8-12FD-464D-B57B-B46FE27B78BB}" = Steinberg LoopMash Content
"{532B917B-8235-4FA5-BE36-643A8BB053A5}" = Steinberg REVerence Content 01
"{5454083B-1308-4485-BF17-111000028701}" = Grand Theft Auto: Episodes from Liberty City
"{5454083B-1308-4485-BF17-111000028702}" = Grand Theft Auto: Episodes from Liberty City
"{5454085C-129F-416C-9C0B-8B1000058301}" = BioShock 2
"{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3
"{61B8B2F9-D8DA-4B24-89A9-DB09F38A4899}" = Grand Theft Auto: Episodes From Liberty City
"{65AA5B18-A330-4F35-BCDF-EA85EC888906}" = AVOX Evo VST
"{690F5BA3-5DEB-42CD-962B-F687EE59FAA7}" = Windows Live Essentials
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6A8DB215-7BCD-4377-B015-2E4541A3E7C6}" = Windows Live PIMT Platform
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7353BAE6-5E49-46C4-A9B5-8A269A313789}" = Crysis WARHEAD(R)
"{73B5D990-04EA-4751-B10F-5534770B91F2}" = Adobe Color EU Recommended Settings
"{750C87B8-AF19-4C3C-B791-50D9C83AE572}" = Call of Duty(R) - World at War(TM) 1.7 Patch
"{7644E42D-B096-457F-8B5B-901238FC81AE}" = ICQ7.6
"{7770E71B-2D43-4800-9CB3-5B6CAAEBEBEA}" = RealNetworks - Microsoft Visual C++ 2008 Runtime
"{802771A9-A856-4A41-ACF7-1450E523C923}" = Adobe XMP Panels CS3
"{82DA9C71-DBFF-4ED9-8B53-B2F28AA6BFD7}" = Syntorus 1.0.0
"{832D9DE0-8AFC-4689-9819-4DBBDEBD3E4F}" = Microsoft Games for Windows - LIVE Redistributable
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{865D9ED1-EAC2-436D-AFA7-0B750EB5AAAB}" = Steinberg HALionOne Studio Drum Set
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{888F1505-C2B3-4FDE-835D-36353EBD4754}" = Ubisoft Game Launcher
"{8A642ACD-CE3A-4A23-A8B1-A0F7EB12B214}" = Windows Live SOXE Definitions
"{8B922CF8-8A6C-41CE-A858-F1755D7F5D29}" = NVIDIA PhysX
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{8E14DDC8-EA60-4E18-B3E3-1937104D5BDA}" = MSVCRT110
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{92F027CB-BDF9-4047-A654-13A050908158}" = ElastikVst
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{94CAC2F1-C856-47F4-AF24-65A1E75AEDB9}" = MotoHelper MergeModules
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{9C98989A-3A15-42DA-A3B9-D20331437D67}}_is1" = Gameforge Live 1.0 "Legend"
"{9F01A67B-7D67-482F-9D4F-D5980A440FD4}" = Call of Duty(R) - World at War(TM) 1.4 Patch
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific
"{A2S166A0-F031-4E27-A057-C69733219434}_is1" = TERA
"{A8CF5C37-8EC5-4C33-BB4A-87F468B77D45}" = Age of Empires III
"{AAECF7BA-E83B-4A10-87EA-DE0B333F8734}" = RealNetworks - Microsoft Visual C++ 2010 Runtime
"{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.5 - Deutsch
"{AC997F93-0757-4ED4-A701-F40C2D654D09}" = Steinberg HALionOne GM Drum Set
"{AE364ACC-B9DF-466B-B4EA-AEECD0CD581E}" = Windows Live Messenger
"{AF7EBCA4-9FAF-4DC8-8D09-67854BB84D34}" = RealDownloader
"{AFAE2B15-89A0-4215-A030-F7B5B478886B}" = Call of Duty(R) - World at War(TM) 1.1 Patch
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B727564C-47D3-473A-AC9E-F4BE7B1BD5D3}" = Windows Live UX Platform Language Pack
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{BAF2FA20-6886-483C-8CC6-3310A1A636E5}" = ElastikVst
"{BD86F1AC-B594-46E4-85DC-1258AC9E2232}" = Steinberg Groove Agent ONE Content
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{C2F8CA82-2BD9-4513-B2D1-08A47914C1DA}_is1" = DriverScanner
"{C3DC2DF5-EFAC-4055-9010-31F7C545DD9E}" = Call of Duty(R) - World at War(TM) 1.5 Patch
"{C424CD5E-EA05-4D3E-B5DA-F9F149E1D3AC}" = Windows Live Installer
"{C43C1415-3DFC-4089-9A32-0BECF28A6046}" = Age of Empires III - The Asian Dynasties
"{C9B6EFD0-4F01-4BBA-8374-39AD99A3ED72}" = Windows Live Photo Common
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC9784BF-FB26-460A-B382-686773904152}_is1" = Vyzex MPD26
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D23CBFDA-C46B-4920-BA70-FC7878A3F05A}" = Steinberg HALionOne Studio Set
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D80A6A73-E58A-4673-AFF5-F12D7110661F}" = Call of Duty(R) - World at War(TM)
"{D82CDA0D-C182-42C8-8FF2-5649C98D6003}" = Steinberg HALionOne Pro Set
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}" = Apple Application Support
"{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E1203F8C-FF34-4968-A4A5-B4F1F8533DAB}" = Photo Common
"{E22AD5D3-EB60-4A8F-835C-6C10E369DCE2}" = Steinberg HALionOne Expression Set
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime
"{E70E7159-93B1-470D-9FBD-D8E9EF34B538}" = Steinberg HALionOne
"{ED6C77F9-4D7E-447C-9EC0-9A212D075535}" = Movie Maker
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}" = Adobe Setup
"{F057965A-D974-4C64-ADB1-4381CD4B8956}" = Steinberg HALionOne GM Set
"{F09EF8F2-0976-42C1-8D9D-8DF78337C6E3}" = Sony Ericsson PC Companion 2.01.231
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F2235E5E-7881-4293-9B6F-04B2609FBFF0}" = Windows Live Messenger
"{F3AFD063-8BAD-485E-B641-E7F5A2C5AE71}" = Steinberg HALionOne Additional Content Set 01
"{FDB3B167-F4FA-461D-976F-286304A57B2A}" = Adobe AIR
"{FE7C0B3D-50B9-4951-BE78-A321CBF86552}" = Windows Live SOXE
"{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{FFF74EC9-1FF4-4456-99E3-4F05129F4FAB}" = Antares Auto-Tune Evo VST
"7-Zip" = 7-Zip 9.20
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe_5f143314a5d434c8511097393d17397" = Adobe Photoshop CS3
"AnalogX AutoTune" = AnalogX AutoTune
"ArtsAcoustic Reverb" = ArtsAcoustic Reverb 1.5.0.5
"Arturia Prophet V VSTi RTAS_is1" = Arturia Prophet V VSTi RTAS v1.2.1
"ASIO4ALL" = ASIO4ALL
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.11 (Unicode)
"Avira AntiVir Desktop" = Avira Free Antivirus
"BandiMPEG1" = Bandisoft MPEG-1 Decoder
"BattlEye for OA" = BattlEye for OA Uninstall
"CINEMA 4D Release 9 XL Bundle" = CINEMA 4D Release 9 XL Bundle
"db audioware Sidechain Compressor VST v1.1.0" = db audioware Sidechain Compressor VST v1.1.0
"dBpowerAMP Music Converter" = dBpowerAMP Music Converter
"Diablo II" = Diablo II
"Diablo III" = Diablo III
"DivX Setup" = DivX-Setup
"East West EWQLSO Gold Edition" = East West EWQLSO Gold Edition
"Effectrix" = Effectrix
"ESN Sonar-0.70.0" = ESN Sonar
"ESN Sonar-0.70.4" = ESN Sonar
"FabFilter Total Bundle" = FabFilter Total Bundle
"FL Studio 9" = FL Studio 9
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free FLV Converter_is1" = Free FLV Converter V 7.4.0
"GoldWave v5.20" = GoldWave v5.20
"Hamachi" = Hamachi 1.0.1.5
"Hardcore" = Hardcore
"IL Download Manager" = IL Download Manager
"InstallShield_{064DC64E-7A2F-4FDF-B598-E3C0747BBB9C}" = Call of Duty(R) - World at War(TM) 1.6 Patch
"InstallShield_{149464D9-B06F-4505-9968-FD1206F67AD3}" = Call of Duty(R) - World at War(TM) 1.3 Patch
"InstallShield_{1C08A24C-B168-407E-A826-68FAF5F20710}" = Age of Empires III - The WarChiefs
"InstallShield_{2BF0AE92-C3BC-4112-9066-1546342B1FAE}" = Call of Duty(R) - World at War(TM) 1.2 Patch
"InstallShield_{750C87B8-AF19-4C3C-B791-50D9C83AE572}" = Call of Duty(R) - World at War(TM) 1.7 Patch
"InstallShield_{9F01A67B-7D67-482F-9D4F-D5980A440FD4}" = Call of Duty(R) - World at War(TM) 1.4 Patch
"InstallShield_{A8CF5C37-8EC5-4C33-BB4A-87F468B77D45}" = Age of Empires III
"InstallShield_{AFAE2B15-89A0-4215-A030-F7B5B478886B}" = Call of Duty(R) - World at War(TM) 1.1 Patch
"InstallShield_{C3DC2DF5-EFAC-4055-9010-31F7C545DD9E}" = Call of Duty(R) - World at War(TM) 1.5 Patch
"iZotope Ozone 4_is1" = iZotope Ozone 4
"iZotope RX 2_is1" = iZotope RX 2
"iZotope Trash_is1" = iZotope Trash
"LUXONIX Ravity(S) v1.4" = LUXONIX Ravity(S) v1.4
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.75.0.1300
"Maximus" = Maximus
"MAXON Language Set 9.0" = MAXON Language Set 9.0
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Motocross Madness 2" = Microsoft Motocross Madness 2
"Mozilla Firefox 20.0.1 (x86 de)" = Mozilla Firefox 20.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Native Instruments FM8" = Native Instruments FM8
"Native Instruments Kontakt 4" = Native Instruments Kontakt 4
"NVIDIA StereoUSB Driver" = NVIDIA 3D Vision Controller Driver
"Ohmforce Predatohm PRO VST v1.32" = Ohmforce Predatohm PRO VST v1.32
"OpenAL" = OpenAL
"PoiZone" = PoiZone
"PSP VintageWarmer2 2.1.4" = PSP VintageWarmer2 2.1.4
"PunkBusterSvc" = PunkBuster Services
"Quake III Arena" = Quake III Arena
"Quake III Arena Point Release 1.32" = Quake III Arena Point Release 1.32
"RealPlayer 16.0" = RealPlayer
"reFX Nexus_is1" = reFX Nexus VSTi RTAS v2.2.0
"Revo Uninstaller" = Revo Uninstaller 1.93
"Sawer" = Sawer
"Sony Vocal Eraser_is1" = Sony Vocal Eraser
"Steam App 240" = Counter-Strike: Source
"Steam App 260" = Counter-Strike: Source Beta
"Steam App 4000" = Garry's Mod
"Steam App 91310" = Dead Island
"Sylenth1_is1" = Sylenth1 v2.20
"SynapseHydra_is1" = Hydra VSTi/DXi v1.2
"Toxic Biohazard" = Toxic Biohazard
"Uninstall_is1" = Uninstall 1.0.0.1
"Update Engine" = Sony Ericsson Update Engine
"VLC media player" = VLC media player 2.0.2
"Voices of the Apocylpse Utility 2.0" = Voices of the Apocylpse Utility 2.0
"Warcraft III" = Warcraft III
"WaveLabPro" = WaveLab 6
"Waves Diamond Bundle v5.2" = Waves Diamond Bundle v5.2
"WinLiveSuite" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"World of Warcraft" = World of Warcraft
"Wusik.com.Wusikstation.VSTi.v3.06" = Wusik.com.Wusikstation.VSTi.v3.06
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2752304810-4254248345-3529142224-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"101a9f93b8f0bb6f" = Curse Client
"Rob Papen Albino 3" = Rob Papen Albino 3
"Warcraft III" = Warcraft III: All Products
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 13.05.2013 16:14:55 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0xf64  Startzeit der fehlerhaften Anwendung: 0x01ce501688e715fc  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: c69997b7-bc09-11e2-8510-0021850edf74
 
Error - 13.05.2013 16:15:55 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0xd74  Startzeit der fehlerhaften Anwendung: 0x01ce5016acbb3298  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: ea6a20cc-bc09-11e2-8510-0021850edf74
 
Error - 13.05.2013 16:16:55 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0x760  Startzeit der fehlerhaften Anwendung: 0x01ce5016d08a645a  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 0e3e1742-bc0a-11e2-8510-0021850edf74
 
Error - 13.05.2013 16:17:56 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0xbe4  Startzeit der fehlerhaften Anwendung: 0x01ce5016f45f8bfd  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 320e7a31-bc0a-11e2-8510-0021850edf74
 
Error - 13.05.2013 16:18:56 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0x11d8  Startzeit der fehlerhaften Anwendung: 0x01ce5017182ebdbf  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 55e270a7-bc0a-11e2-8510-0021850edf74
 
Error - 13.05.2013 16:19:56 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0x1274  Startzeit der fehlerhaften Anwendung: 0x01ce50173c040b88  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 79b2f9bc-bc0a-11e2-8510-0021850edf74
 
Error - 13.05.2013 16:20:56 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0x13b8  Startzeit der fehlerhaften Anwendung: 0x01ce50175fd33d4a  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 9d86f032-bc0a-11e2-8510-0021850edf74
 
Error - 13.05.2013 16:21:56 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0x444  Startzeit der fehlerhaften Anwendung: 0x01ce501783a733c0  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: c15621f4-bc0a-11e2-8510-0021850edf74
 
Error - 13.05.2013 16:22:56 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0xcb0  Startzeit der fehlerhaften Anwendung: 0x01ce5017a7766582  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: e52a186a-bc0a-11e2-8510-0021850edf74
 
Error - 13.05.2013 16:23:56 | Computer Name = gagaga | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x735fc9f1  ID des fehlerhaften
 Prozesses: 0x13d8  Startzeit der fehlerhaften Anwendung: 0x01ce5017cb4a5bf8  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\svchost.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 08f94a2c-bc0b-11e2-8510-0021850edf74
 
[ System Events ]
Error - 13.05.2013 08:35:24 | Computer Name = gagaga | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 13.05.2013 08:36:29 | Computer Name = gagaga | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 13.05.2013 08:37:10 | Computer Name = gagaga | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 13.05.2013 08:38:36 | Computer Name = gagaga | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 13.05.2013 09:48:21 | Computer Name = gagaga | Source = Service Control Manager | ID = 7023
Description = 
 
Error - 13.05.2013 09:48:32 | Computer Name = gagaga | Source = Service Control Manager | ID = 7003
Description = 
 
Error - 13.05.2013 09:48:32 | Computer Name = gagaga | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 13.05.2013 09:48:32 | Computer Name = gagaga | Source = Service Control Manager | ID = 7003
Description = 
 
Error - 13.05.2013 09:50:49 | Computer Name = gagaga | Source = Service Control Manager | ID = 7038
Description = 
 
Error - 13.05.2013 09:50:49 | Computer Name = gagaga | Source = Service Control Manager | ID = 7000
Description = 
 
< End of report >
         
--- --- ---


Alt 13.05.2013, 22:45   #6
gummibaum
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



ich hoff mal das war jetzt richtig,den log von antivir hab ich grad hochgeladen indem ich unten auf anhänge verwalten geklickt hab

Alt 13.05.2013, 23:02   #7
t'john
/// Helfer-Team
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



WOW, die Kiste ist echt versifft!

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.


Code:
ATTFilter
:OTL

O4 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001..\Run: [Fielihyza] C:\Users\WeAreOne\AppData\Roaming\Byicex\zeol.exe (Mandiant) 
O4 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001..\Run: [Kuykixk] C:\Users\WeAreOne\AppData\Roaming\Ebyd\yhba.exe (Mandiant) 
O4 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001..\Run: [SkypeM] C:\Users\WeAreOne\AppData\Local\Skype\Skype.exe File not found 
O4 - HKU\S-1-5-21-2752304810-4254248345-3529142224-1001..\Run: [Uzypasl] C:\Users\WeAreOne\AppData\Roaming\Acyt\ibwao.exe () 
O4 - Startup: C:\Users\WeAreOne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip () 
[2013.05.13 03:12:29 | 000,000,000 | ---D | C] -- C:\Users\WeAreOne\AppData\Roaming\winlogon 
[2013.05.13 03:14:36 | 000,000,004 | ---- | M] () -- C:\Users\WeAreOne\AppData\Roaming\skype.ini 
@Alternate Data Stream - 247 bytes -> C:\Windows\pOOrGUI:Source Setup Log.txt 
@Alternate Data Stream - 108 bytes -> C:\ProgramData\Temp:D06A4C76 
[2013.05.13 03:14:04 | 000,015,360 | ---- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\80000000.@ 
[2013.05.13 15:48:00 | 000,000,804 | ---- | M] () -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\L\00000004.@ 
[2010.03.04 17:30:46 | 000,000,000 | -H-- | C] () -- C:\Users\WeAreOne\AppData\Roaming\.08976A4432414DDE.sys 
[2013.05.13 14:35:10 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\L 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\WeAreOne\*.tmp
C:\Users\WeAreOne\AppData\*.dll
C:\Users\WeAreOne\AppData\*.exe
C:\Users\WeAreOne\AppData\Local\Temp\*.exe
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache
ipconfig /flushdns /c
:Commands
[emptytemp]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
Mfg, t'john
Das TB unterstützen

Alt 13.05.2013, 23:09   #8
gummibaum
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



ok,das dauert wohl etwas,bin da nicht so der profi ja,ich hab mich auch gewundert,das ist aber alles innerhalb von paar tagen passiert...naja,ich hoff mal das wir hinkriegen..

so,ging ja doch schnell^^

hier die logs

OTL:

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2752304810-4254248345-3529142224-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Fielihyza deleted successfully.
C:\Users\WeAreOne\AppData\Roaming\Byicex\zeol.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-2752304810-4254248345-3529142224-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Kuykixk deleted successfully.
C:\Users\WeAreOne\AppData\Roaming\Ebyd\yhba.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-2752304810-4254248345-3529142224-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SkypeM deleted successfully.
Registry value HKEY_USERS\S-1-5-21-2752304810-4254248345-3529142224-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Uzypasl deleted successfully.
C:\Users\WeAreOne\AppData\Roaming\Acyt\ibwao.exe moved successfully.
C:\Users\WeAreOne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip moved successfully.
C:\Users\WeAreOne\AppData\Roaming\winlogon folder moved successfully.
C:\Users\WeAreOne\AppData\Roaming\skype.ini moved successfully.
ADS C:\Windows\pOOrGUI:Source Setup Log.txt deleted successfully.
ADS C:\ProgramData\Temp:D06A4C76 deleted successfully.
C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\80000000.@ moved successfully.
C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\L\00000004.@ moved successfully.
C:\Users\WeAreOne\AppData\Roaming\.08976A4432414DDE.sys moved successfully.
C:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\L folder moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
C:\ProgramData\TEMP folder moved successfully.
File\Folder C:\Users\WeAreOne\*.tmp not found.
File\Folder C:\Users\WeAreOne\AppData\*.dll not found.
File\Folder C:\Users\WeAreOne\AppData\*.exe not found.
C:\Users\WeAreOne\AppData\Local\Temp\ffunzip.exe moved successfully.
C:\Users\WeAreOne\AppData\Local\Temp\InstallFlashPlayer.exe moved successfully.
C:\Users\WeAreOne\AppData\Local\Temp\tbff.EXE moved successfully.
C:\Users\WeAreOne\AppData\Local\Temp\tbie.exe moved successfully.
C:\Users\WeAreOne\AppData\Local\Temp\tbinst.exe moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\WeAreOne\Desktop\cmd.bat deleted successfully.
C:\Users\WeAreOne\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
 
User: Default
->Temp folder emptied: 0 bytes
->Flash cache emptied: 56468 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Flash cache emptied: 56468 bytes
 
User: WeAreOne
->Temp folder emptied: 1550251830 bytes
->FireFox cache emptied: 79695331 bytes
->Flash cache emptied: 60020 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1269760 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 47205938 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 147263 bytes
RecycleBin emptied: 2446 bytes
 
Total Files Cleaned = 1.601.00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 05132013_232023
 
Files\Folders moved on Reboot...
C:\Users\WeAreOne\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
 
PendingFileRenameOperations files...
 
Registry entries deleted on Reboot...
         
mbar erster scan:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org
 
Database version: v2013.05.13.08
 
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
WeAreOne :: GAGAGA [administrator]
 
13.05.2013 23:41:25
mbar-log-2013-05-13 (23-41-25).txt
 
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 28800
Time elapsed: 10 minute(s), 29 second(s)
 
Memory Processes Detected: 0
(No malicious items detected)
 
Memory Modules Detected: 0
(No malicious items detected)
 
Registry Keys Detected: 0
(No malicious items detected)
 
Registry Values Detected: 0
(No malicious items detected)
 
Registry Data Items Detected: 0
(No malicious items detected)
 
Folders Detected: 1
c:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U (Backdoor.0Access) -> Delete on reboot.
 
Files Detected: 10
c:\Windows\System32\services.exe (Rootkit.0Access) -> Delete on reboot.
c:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\@ (Backdoor.0Access) -> Delete on reboot.
c:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\00000004.@ (Backdoor.0Access) -> Delete on reboot.
c:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\00000008.@ (Backdoor.0Access) -> Delete on reboot.
c:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\000000cb.@ (Backdoor.0Access) -> Delete on reboot.
c:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\80000000.@ (Backdoor.0Access) -> Delete on reboot.
c:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\80000032.@ (Backdoor.0Access) -> Delete on reboot.
c:\Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\80000064.@ (Backdoor.0Access) -> Delete on reboot.
c:\Windows\assembly\GAC_32\Desktop.ini (Rootkit.0access) -> Delete on reboot.
c:\Windows\assembly\GAC_64\Desktop.ini (Rootkit.0access) -> Delete on reboot.
 
(end)
         
mbar zweiter scan:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org
 
Database version: v2013.05.13.08
 
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
WeAreOne :: GAGAGA [administrator]
 
13.05.2013 23:56:08
mbar-log-2013-05-13 (23-56-08).txt
 
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 28716
Time elapsed: 10 minute(s), 43 second(s)
 
Memory Processes Detected: 0
(No malicious items detected)
 
Memory Modules Detected: 0
(No malicious items detected)
 
Registry Keys Detected: 0
(No malicious items detected)
 
Registry Values Detected: 0
(No malicious items detected)
 
Registry Data Items Detected: 0
(No malicious items detected)
 
Folders Detected: 0
(No malicious items detected)
 
Files Detected: 0
(No malicious items detected)
 
(end)
         
und adwcleaner:

AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v2.300 - Datei am 13/05/2013 um 23:57:48 erstellt
# Aktualisiert am 28/04/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)
# Benutzer : WeAreOne - GAGAGA
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\WeAreOne\Desktop\adwcleaner.exe
# Option [Löschen]
 
 
**** [Dienste] ****
 
 
***** [Dateien / Ordner] *****
 
Datei Gelöscht : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\searchplugins\Conduit.xml
Ordner Gelöscht : C:\Program Files (x86)\Conduit
Ordner Gelöscht : C:\Program Files (x86)\DAEMON Tools Toolbar
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\WeAreOne\AppData\LocalLow\boost_interprocess
Ordner Gelöscht : C:\Users\WeAreOne\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\dvdvideosoftiehelpers
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\Conduit
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\ConduitCommon
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\CT273466
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\CT2840727
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\extensions\{220f209a-e2cf-4733-bb53-0730a3374af7}
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\extensions\{bab31fc4-cb97-46f4-9565-26d65225cc2c}
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\extensions\{e36df325-3f4b-476f-8f89-123bc5d51a30}
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\Smartbar
Ordner Gelöscht : C:\Users\WeAreOne\AppData\Roaming\OCS
 
***** [Registrierungsdatenbank] *****
 
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2536373
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
 
***** [Internet Browser] *****
 
-\\ Internet Explorer v10.0.9200.16537
 
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050 --> hxxp://www.google.com
 
-\\ Mozilla Firefox v20.0.1 (de)
 
Datei : C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\prefs.js
 
C:\Users\WeAreOne\AppData\Roaming\Mozilla\Firefox\Profiles\xlr68n8o.default\user.js ... Gelöscht !
 
Gelöscht : user_pref("CT273466..clientLogIsEnabled", false);
Gelöscht : user_pref("CT273466..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Gelöscht : user_pref("CT273466..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Gelöscht : user_pref("CT273466.ALLOW_SHOWING_HIDDEN_TOOLBAR", false);
Gelöscht : user_pref("CT273466.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT273466.AppTrackingLastCheckTime", "Fri Jan 18 2013 03:56:12 GMT+0100");
Gelöscht : user_pref("CT273466.BrowserCompStateIsOpen_1367157765000", true);
Gelöscht : user_pref("CT273466.CTID", "CT273466");
Gelöscht : user_pref("CT273466.CurrentServerDate", "13-5-2013");
Gelöscht : user_pref("CT273466.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT273466.DialogsGetterLastCheckTime", "Sat May 11 2013 23:16:55 GMT+0200");
Gelöscht : user_pref("CT273466.DownloadReferralCookieData", "");
Gelöscht : user_pref("CT273466.FirstServerDate", "12-1-2010");
Gelöscht : user_pref("CT273466.FirstTime", true);
Gelöscht : user_pref("CT273466.FirstTimeFF3", true);
Gelöscht : user_pref("CT273466.FirstTimeSettingsDone", true);
Gelöscht : user_pref("CT273466.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT273466.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT273466.HasUserGlobalKeys", true);
Gelöscht : user_pref("CT273466.HomePageProtectorEnabled", false);
Gelöscht : user_pref("CT273466.HomepageBeforeUnload", "hxxp://google.de");
Gelöscht : user_pref("CT273466.Initialize", true);
Gelöscht : user_pref("CT273466.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT273466.InstallationAndCookieDataSentCount", 3);
Gelöscht : user_pref("CT273466.InstalledDate", "Tue Jan 12 2010 03:36:58 GMT+0100");
Gelöscht : user_pref("CT273466.InvalidateCache", false);
Gelöscht : user_pref("CT273466.IsAlertDBUpdated", true);
Gelöscht : user_pref("CT273466.IsGrouping", false);
Gelöscht : user_pref("CT273466.IsMulticommunity", false);
Gelöscht : user_pref("CT273466.IsOpenThankYouPage", true);
Gelöscht : user_pref("CT273466.IsOpenUninstallPage", true);
Gelöscht : user_pref("CT273466.LanguagePackLastCheckTime", "Mon May 13 2013 01:10:12 GMT+0200");
Gelöscht : user_pref("CT273466.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT273466.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx"[...]
Gelöscht : user_pref("CT273466.LastLogin_2.5.4.6", "Mon Mar 15 2010 01:18:18 GMT+0100");
Gelöscht : user_pref("CT273466.LastLogin_2.5.6.0", "Sat Aug 21 2010 06:43:39 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_2.5.8.6", "Sun Apr 11 2010 01:44:22 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_2.7.2.0", "Fri Apr 15 2011 22:49:34 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.10.0.1", "Sat Apr 28 2012 03:21:39 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.11.0.3", "Mon May 07 2012 11:00:22 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.12.2.3", "Mon May 21 2012 07:20:54 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.13.0.6", "Mon Jul 09 2012 13:25:59 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.14.1.0", "Sat Sep 01 2012 18:29:00 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.15.1.0", "Fri Dec 14 2012 15:57:22 GMT+0100");
Gelöscht : user_pref("CT273466.LastLogin_3.16.0.3", "Sun Feb 10 2013 03:27:02 GMT+0100");
Gelöscht : user_pref("CT273466.LastLogin_3.18.0.7", "Mon May 13 2013 23:28:58 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.3.3.2", "Thu Jun 23 2011 00:10:43 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.5.0.12", "Mon Aug 01 2011 20:20:55 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.6.0.10", "Fri Sep 30 2011 17:56:17 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.7.0.6", "Wed Oct 12 2011 04:06:06 GMT+0200");
Gelöscht : user_pref("CT273466.LastLogin_3.8.0.8", "Mon Dec 05 2011 03:01:55 GMT+0100");
Gelöscht : user_pref("CT273466.LastLogin_3.8.1.0", "Tue Jan 31 2012 01:26:45 GMT+0100");
Gelöscht : user_pref("CT273466.LastLogin_3.9.0.3", "Tue Feb 14 2012 06:30:40 GMT+0100");
Gelöscht : user_pref("CT273466.LatestVersion", "3.18.0.7");
Gelöscht : user_pref("CT273466.Locale", "en");
Gelöscht : user_pref("CT273466.LoginCache", 4);
Gelöscht : user_pref("CT273466.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT273466.MCDetectTooltipShow", false);
Gelöscht : user_pref("CT273466.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT273466.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT273466.MyStuffEnabledAtInstallation", true);
Gelöscht : user_pref("CT273466.RadioIsPodcast", false);
Gelöscht : user_pref("CT273466.RadioLastCheckTime", "Mon May 13 2013 01:10:12 GMT+0200");
Gelöscht : user_pref("CT273466.RadioLastUpdateIPServer", "0");
Gelöscht : user_pref("CT273466.RadioLastUpdateServer", "129337411225500000");
Gelöscht : user_pref("CT273466.RadioMediaID", "13216406");
Gelöscht : user_pref("CT273466.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT273466.RadioMenuSelectedID", "EBRadioMenu_CT273466_RECENT13216406");
Gelöscht : user_pref("CT273466.RadioShrinked", "expanded");
Gelöscht : user_pref("CT273466.RadioShrinkedFromSetup", false);
Gelöscht : user_pref("CT273466.RadioStationName", "Hardstyle%20(HB)");
Gelöscht : user_pref("CT273466.RadioStationURL", "hxxp://mp3.hb-stream.net:80");
Gelöscht : user_pref("CT273466.RadioVolume", "30");
Gelöscht : user_pref("CT273466.SHRINK_TOOLBAR", 1);
Gelöscht : user_pref("CT273466.SearchBoxWidth", 145);
Gelöscht : user_pref("CT273466.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TERM[...]
Gelöscht : user_pref("CT273466.SearchEngineBeforeUnload", "Search");
Gelöscht : user_pref("CT273466.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT273466.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2734[...]
Gelöscht : user_pref("CT273466.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT273466.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT273466.SearchInNewTabLastCheckTime", "Mon May 13 2013 01:10:12 GMT+0200");
Gelöscht : user_pref("CT273466.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_TO[...]
Gelöscht : user_pref("CT273466.SearchInNewTabUsageUrl", "hxxp://usage.hosting.toolbar.conduit-services.com/usag[...]
Gelöscht : user_pref("CT273466.SearchInNewTabUserEnabled", false);
Gelöscht : user_pref("CT273466.SearchProtectorEnabled", true);
Gelöscht : user_pref("CT273466.SearchProtectorToolbarDisabled", false);
Gelöscht : user_pref("CT273466.ServiceMapLastCheckTime", "Mon May 13 2013 01:10:12 GMT+0200");
Gelöscht : user_pref("CT273466.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT273466.SettingsLastCheckTime", "Mon May 13 2013 23:28:55 GMT+0200");
Gelöscht : user_pref("CT273466.SettingsLastUpdate", "1368437363");
Gelöscht : user_pref("CT273466.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT273466.ThirdPartyComponentsLastCheck", "Wed May 08 2013 16:06:24 GMT+0200");
Gelöscht : user_pref("CT273466.ThirdPartyComponentsLastUpdate", "1331805997");
Gelöscht : user_pref("CT273466.ToolbarDisabled", false);
Gelöscht : user_pref("CT273466.TrusteLinkUrl", "hxxp://trust.conduit.com/CT273466");
Gelöscht : user_pref("CT273466.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,client[...]
Gelöscht : user_pref("CT273466.UserID", "UN64383489219209833");
Gelöscht : user_pref("CT273466.ValidationData_Search", 2);
Gelöscht : user_pref("CT273466.ValidationData_Toolbar", 2);
Gelöscht : user_pref("CT273466.alertChannelId", "2700");
Gelöscht : user_pref("CT273466.backendstorage./9b+7e+x305", "247E27413334363379453A3D2A722C797A7E7A3128333B4749[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e,x305", "247E28412F3F3E3779453A3D2A722C797B787D3128333C4748[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e-x305", "247E2936303C363679453A3D2A722C797A207B3128333D462B[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e.:2z527", "247E707273303C3833477B473C3F2C742E7E7D792022342B[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e.x305", "247E2A4137374434337A463B3E2B732D7A7D7C213229343F56[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e/x305", "247E2B413536327844393C29712B787C7B773027323E4C4343[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e06cg5el8:", "6E6D6B6B717071726E74");
Gelöscht : user_pref("CT273466.backendstorage./9b+7e06cg5el;8i:k", "247E2D2F226A7473717177767778747A242F4B49474[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e0x305", "247E2C403A407743383B28702A777C757D2F26313E41295547[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e1x305", "247E2D41313D403279453A3D2A722C7A77797E31283341473E[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e2x305", "247E2E3542313D3D393A7B473C3F2C742E79207D3229344356[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e31;cjc<=fbj#mm", "247E61393F236B257576737A2A212C6E414F444D3[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e3x305", "247E2F413F3B36333F47463F7D493E412E76307E222421352C[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e4x305", "247E302C407642373A276F29777B74762E2530413E4F494A52[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e5x305", "247E3136422B7743383B28702A79757A772F2631434B3D4956[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e6x305", "247E322C3E32323238453E7C483D402D752F7E7B2424342B36[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e7x305", "247E333D2C3F3E3F79453A3D2A722C7B7A797A31283347513F[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e8x305", "247E343D3F3B35373B3F367C47472C742E7E78233229344956[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e9x305", "247E35332C3F327844393C29712B7B757979302732484C4F4F[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e:x305", "247E36333B38327844393C29712B7B76797A30273249485545[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e;x305", "247E373F333F3738422F7B473C3F2C742E7E7A7A22332A354D[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e<x305", "247E38343030442F463644377D493E412E7630217D2426352C[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e=x305", "247E3933363F41413739357C483D402D752F207E2022342B36[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e>x305", "247E3A41363F323238387B473C3F2C742E7E20217C332A3550[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e?x305", "247E3B2D2F2F334134403A3A7D494C2D752F2023207E342B36[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7e@x305", "247E3C40422B7743383B28702A7B767E782F26314E52543D2A[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7eax305", "247E3D3D37387743383B28702A7B7A757E2F26314F4F544A52[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7ebe3g=;d9n9=d", "372C2D326975762E3A3C7B3A39434A494841434B265[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7ebx305", "247E3E393141303D33454036327E4A3F422F77317B7D23352C[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7ecx305", "247E3F3D303043312E7A463B3E2B732D7B207E312833535156[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7edx305", "247E4035422A363879453A3D2A722C7D202F26315247543C48[...]
Gelöscht : user_pref("CT273466.backendstorage./9b+7etx305", "247E6E2F2E3B323342357B44392B732D7A7B7B7C3229342352[...]
Gelöscht : user_pref("CT273466.backendstorage./9b-0?3g>d", "666C6B6E717071447A78787278204A7D7820254D2050502A232[...]
Gelöscht : user_pref("CT273466.backendstorage./9b-0?3g@6:5;", "");
Gelöscht : user_pref("CT273466.backendstorage./9b-0?3gfa7ef", "2B2E2C3D");
Gelöscht : user_pref("CT273466.backendstorage./9b-3=3eccja=f>", "247E333D2C452F4135276F297B7E7D21202F26313E4249[...]
Gelöscht : user_pref("CT273466.backendstorage./9b/>01=9a6k6<im;krie@pdawm", "6A696B7273747576");
Gelöscht : user_pref("CT273466.backendstorage./9b3=>@44i48?", "372C2D326975763342363341484775213F3E484F4E4D4648[...]
Gelöscht : user_pref("CT273466.backendstorage./9b5ba==9cjag", "6B673C3F6E3E6C727A7348727B734B774D7A7A2350");
Gelöscht : user_pref("CT273466.backendstorage./9b6b11g4c56b>f;p;anr@p", "6E6D6B6B717071726E7770767B");
Gelöscht : user_pref("CT273466.backendstorage./9b9643g3/9e", "6A");
Gelöscht : user_pref("CT273466.backendstorage./9b;45>:bi9i7ie", "2B2E2C3D");
Gelöscht : user_pref("CT273466.backendstorage./9b<:222h64<", "393F352F3E");
Gelöscht : user_pref("CT273466.backendstorage./9b<:222h64<l8daj", "6D70706F76747179756F2A7977727D7675207D");
Gelöscht : user_pref("CT273466.backendstorage./9b=+03eh8h8j?:", "4443");
Gelöscht : user_pref("CT273466.backendstorage./9b?+e2a52d8", "372C2D326975762E3A3C7B3A39434A494841434B265146492[...]
Gelöscht : user_pref("CT273466.backendstorage./9b?b0d:8aj62<h", "6D");
Gelöscht : user_pref("CT273466.backendstorage./9ba@0<0bi6a7gn:6@l?", "6E6B");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_appsdata", "7B2261707073223A5B7B226964223A225072696365476F[...]
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_appsdefaultenabled", "6E756C6C");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_appstate_couponbuddy", "6F6E");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_appstate_easytobook", "6F6E");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_appstate_easytobook_targeted", "6F6E");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_appstate_pricegong", "6F6E");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_appstate_windowshopper", "6F6E");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_appstatereporttime", "31333637323835343539323231");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_configuration", "7B22636F6E66696775726174696F6E223A5B7B226[...]
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_currentversion", "312E342E342E36");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_eventscache", "7B2239336239663561352D373536662D346130312D3[...]
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_first_time", "31");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_gadgetopen", "30");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_lastlogintime", "31333637323835343539323039");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_localization", "7B22676164676574436F6E74656E74506F6C696379[...]
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_settings1.4.4.6", "7B22537461747573223A2273756363656564656[...]
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_showclosebutton", "74727565");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_showwelcomegadget", "66616C7365");
Gelöscht : user_pref("CT273466.backendstorage.mam_gk_userid", "33653864626665652D393964352D346236332D613461642D[...]
Gelöscht : user_pref("CT273466.backendstorage.pg_enable", "74727565");
Gelöscht : user_pref("CT273466.backendstorage.sf_just_installed", "46414C5345");
Gelöscht : user_pref("CT273466.backendstorage.sf_status", "454E41424C4544");
Gelöscht : user_pref("CT273466.backendstorage.sf_user_id", "6369645F32393432303133313638323135363034333036");
Gelöscht : user_pref("CT273466.backendstorage.url_history0001", "68747470733A2F2F736F756E64636C6F75642E636F6D2F[...]
Gelöscht : user_pref("CT273466.clientLogIsEnabled", false);
Gelöscht : user_pref("CT273466.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asmx[...]
Gelöscht : user_pref("CT273466.components.1000080", false);
Gelöscht : user_pref("CT273466.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.co[...]
Gelöscht : user_pref("CT273466.globalFirstTimeInfoLastCheckTime", "Sun May 12 2013 05:48:44 GMT+0200");
Gelöscht : user_pref("CT273466.homepageProtectorEnableByLogin", true);
Gelöscht : user_pref("CT273466.initDone", true);
Gelöscht : user_pref("CT273466.isAppTrackingManagerOn", false);
Gelöscht : user_pref("CT273466.myStuffEnabled", true);
Gelöscht : user_pref("CT273466.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT273466.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOri[...]
Gelöscht : user_pref("CT273466.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT273466.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Com[...]
Gelöscht : user_pref("CT273466.oldAppsList", "128346693703875523,127882221544669149,111,1000082,128805096648994[...]
Gelöscht : user_pref("CT273466.revertSettingsEnabled", true);
Gelöscht : user_pref("CT273466.searchProtectorDialogDelayInSec", 10);
Gelöscht : user_pref("CT273466.searchProtectorEnableByLogin", true);
Gelöscht : user_pref("CT273466.testingCtid", "");
Gelöscht : user_pref("CT273466.toolbarAppMetaDataLastCheckTime", "Mon May 13 2013 01:10:12 GMT+0200");
Gelöscht : user_pref("CT273466.toolbarContextMenuLastCheckTime", "Wed May 01 2013 04:32:01 GMT+0200");
Gelöscht : user_pref("CT273466.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Regi[...]
Gelöscht : user_pref("CT273466.usagesFlag", 2);
Gelöscht : user_pref("CT2840727.1000082.isDisplayHidden", "true");
Gelöscht : user_pref("CT2840727.1000082.muteState", "off");
Gelöscht : user_pref("CT2840727.1000082.state", "{\"state\":\"stopped\",\"text\":\"Fear.FM H...\",\"description[...]
Gelöscht : user_pref("CT2840727.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");
Gelöscht : user_pref("CT2840727.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]
Gelöscht : user_pref("CT2840727.FirstTime", "true");
Gelöscht : user_pref("CT2840727.FirstTimeFF3", "true");
Gelöscht : user_pref("CT2840727.UserID", "UN37902824657338297");
Gelöscht : user_pref("CT2840727.addressBarTakeOverEnabledInHidden", "true");
Gelöscht : user_pref("CT2840727.embeddedsData", "[{\"appId\":\"129341300346406308\",\"apiPermissions\":{\"cross[...]
Gelöscht : user_pref("CT2840727.enableAlerts", "never");
Gelöscht : user_pref("CT2840727.firstTimeDialogOpened", "true");
Gelöscht : user_pref("CT2840727.fixPageNotFoundErrorInHidden", "true");
Gelöscht : user_pref("CT2840727.fixUrls", true);
Gelöscht : user_pref("CT2840727.installType", "DirectDownload");
Gelöscht : user_pref("CT2840727.isCheckedStartAsHidden", true);
Gelöscht : user_pref("CT2840727.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
Gelöscht : user_pref("CT2840727.isFirstTimeToolbarLoading", "false");
Gelöscht : user_pref("CT2840727.isNewTabEnabled", false);
Gelöscht : user_pref("CT2840727.isPerformedSmartBarTransition", "true");
Gelöscht : user_pref("CT2840727.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
Gelöscht : user_pref("CT2840727.migrateAppsAndComponents", true);
Gelöscht : user_pref("CT2840727.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"\",\"EB_MAIN_FRAME_URL\":\"\",\"[...]
Gelöscht : user_pref("CT2840727.search.searchAppId", "129341300346406308");
Gelöscht : user_pref("CT2840727.search.searchCount", "0");
Gelöscht : user_pref("CT2840727.searchInNewTabEnabled", "false");
Gelöscht : user_pref("CT2840727.searchInNewTabEnabledInHidden", "true");
Gelöscht : user_pref("CT2840727.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");
Gelöscht : user_pref("CT2840727.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
Gelöscht : user_pref("CT2840727.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]
Gelöscht : user_pref("CT2840727.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]
Gelöscht : user_pref("CT2840727.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]
Gelöscht : user_pref("CT2840727.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]
Gelöscht : user_pref("CT2840727.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]
Gelöscht : user_pref("CT2840727.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1346878655268");
Gelöscht : user_pref("CT2840727.serviceLayer_services_appsMetadata_lastUpdate", "1347449242866");
Gelöscht : user_pref("CT2840727.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1346878655458");
Gelöscht : user_pref("CT2840727.serviceLayer_services_login_10.13.1.89_lastUpdate", "1347513456505");
Gelöscht : user_pref("CT2840727.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1346878655514");
Gelöscht : user_pref("CT2840727.serviceLayer_services_searchAPI_lastUpdate", "1347449244266");
Gelöscht : user_pref("CT2840727.serviceLayer_services_serviceMap_lastUpdate", "1347449242848");
Gelöscht : user_pref("CT2840727.serviceLayer_services_toolbarContextMenu_lastUpdate", "1346878655425");
Gelöscht : user_pref("CT2840727.serviceLayer_services_toolbarSettings_lastUpdate", "1347513456559");
Gelöscht : user_pref("CT2840727.serviceLayer_services_translation_lastUpdate", "1347449242927");
Gelöscht : user_pref("CT2840727.settingsINI", true);
Gelöscht : user_pref("CT2840727.smartbar.CTID", "CT2840727");
Gelöscht : user_pref("CT2840727.smartbar.Uninstall", "0");
Gelöscht : user_pref("CT2840727.smartbar.toolbarName", "fearfm ");
Gelöscht : user_pref("CT2840727.toolbarBornServerTime", "5-9-2012");
Gelöscht : user_pref("CT2840727.toolbarCurrentServerTime", "13-9-2012");
Gelöscht : user_pref("CT2840727.toolbarDisabled", "true");
Gelöscht : user_pref("CT2840727_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://Settings.toolbar.search.conduit.com/root/CT273466/CT273466",[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alert.services.conduit.com/Alerts/AlertServices.asmx/GetHost[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/2700/2700/DE", "\"0\"");
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT273466", "[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.10[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.11[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.12[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.13[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.14[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.15[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.16[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.18[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.5.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.6.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.7.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.9.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT273466", [...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=3/13/20[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT273466&octid=C[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT273466/CT273466",[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Crystal/maxi.gif",[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Crystal/minimize.g[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Crystal/pause.gif"[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Crystal/pause_mini[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Crystal/play.gif",[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Crystal/play_mini.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Crystal/stop.gif",[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Crystal/stopped.GI[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Crystal/vol.gif", [...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"51f[...]
Gelöscht : user_pref("CommunityToolbar.EngineOwner", "");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerGuid", "{bab31fc4-cb97-46f4-9565-26d65225cc2c}");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerToolbarId", "harder-styles");
Gelöscht : user_pref("CommunityToolbar.IsEngineShown", true);
Gelöscht : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);
Gelöscht : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Users\\WeAreOne\\AppData\\Roaming\\Mozilla[...]
Gelöscht : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.18.0.7");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwner", "CT273466");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "{bab31fc4-cb97-46f4-9565-26d65225cc2c}");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "harder-styles");
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT273466");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT273466");
Gelöscht : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Sat Apr 16 2011 00:35:06 GMT+02[...]
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoInterval", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Wed Jun 22 2011 20:42:10 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.locale", "en");
Gelöscht : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Wed Jun 22 2011 20:42:02 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559");
Gelöscht : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.alert.userId", "{dcbe23df-90f9-426e-a5e4-1d4d4c97c3e0}");
Gelöscht : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sat Apr 10 2010 16:41:30 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.globalUserId", "32ab53a1-9b6a-4f72-8c2b-cfa7dbd176ce");
Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2269050");
Gelöscht : user_pref("CommunityToolbar.killedEngine", true);
Gelöscht : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Sat May 11 2013 23:16:5[...]
Gelöscht : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440);
Gelöscht : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Mon May 13 2013 01:10:20 GMT+020[...]
Gelöscht : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.notifications.locale", "en");
Gelöscht : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Mon May 13 2013 01:10:12 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611");
Gelöscht : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.notifications.userId", "923380c7-bcb3-4ae6-bd4b-d9de7c1763fb");
Gelöscht : user_pref("CommunityToolbar.undefined", "");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&Sea[...]
 
*************************
 
AdwCleaner[S1].txt - [333 octets] - [13/05/2013 23:57:30]
AdwCleaner[S2].txt - [34213 octets] - [13/05/2013 23:57:48]
 
########## EOF - C:\AdwCleaner[S2].txt - [34274 octets] ##########
         
--- --- ---

jetzt zeigt mir windows noch an das antivir und windows defender beide nicht aktiv sind.
der schirm vom antivir symbol ist aber offen...und wenn ich auf einschalten drück passiert nix.

beim windows defender bekomm ich die meldung "windows defender kann nicht aktiviert werden.wiederholen sie den vorgang später"

Alt 14.05.2013, 00:41   #9
t'john
/// Helfer-Team
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Mfg, t'john
Das TB unterstützen

Alt 14.05.2013, 03:16   #10
gummibaum
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



so,hier die nächsten.leider immernoch paar funde :/

aswmbr:

Code:
ATTFilter
aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-14 00:46:09
-----------------------------
00:46:09.192    OS Version: Windows x64 6.1.7601 Service Pack 1
00:46:09.192    Number of processors: 4 586 0xF0B
00:46:09.192    ComputerName: GAGAGA  UserName: 
00:46:09.926    Initialize success
00:47:35.694    AVAST engine defs: 13051301
00:47:45.885    Disk 0  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-3
00:47:45.885    Disk 0 Vendor: MAXTOR_STM3160813AS MC1H Size: 152627MB BusType: 3
00:47:45.893    Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-2
00:47:45.893    Disk 1 Vendor: SAMSUNG_HD160JJ ZM100-41 Size: 152627MB BusType: 3
00:47:45.909    Disk 1 MBR read successfully
00:47:45.909    Disk 1 MBR scan
00:47:45.916    Disk 1 Windows 7 default MBR code
00:47:45.924    Disk 1 Partition 1 80 (A) 07    HPFS/NTFS NTFS        40962 MB offset 63
00:47:45.932    Disk 1 Partition - 00     05     Extended            111662 MB offset 83891430
00:47:45.948    Disk 1 Partition 2 00     07    HPFS/NTFS NTFS       111662 MB offset 83891493
00:47:45.979    Disk 1 scanning C:\Windows\system32\drivers
00:47:57.991    Service scanning
00:48:19.984    Modules scanning
00:48:20.375    Disk 1 trace - called modules:
00:48:20.398    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80046fa2c0]<<sphx.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys 
00:48:20.398    1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0xfffffa8004af2060]
00:48:20.406    3 CLASSPNP.SYS[fffff88001b2343f] -> nt!IofCallDriver -> [0xfffffa800486e520]
00:48:20.414    5 ACPI.sys[fffff8800100b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa800485a680]
00:48:20.421    \Driver\atapi[0xfffffa800482d830] -> IRP_MJ_CREATE -> 0xfffffa80046fa2c0
00:48:20.796    AVAST engine scan C:\Windows
00:48:23.141    AVAST engine scan C:\Windows\system32
00:52:21.016    AVAST engine scan C:\Windows\system32\drivers
00:52:33.258    AVAST engine scan C:\Users\WeAreOne
00:57:15.596    AVAST engine scan C:\ProgramData
00:59:33.079    Scan finished successfully
01:00:14.227    Disk 1 MBR has been saved successfully to "C:\Users\WeAreOne\Desktop\MBR.dat"
01:00:14.235    The log file has been saved successfully to "C:\Users\WeAreOne\Desktop\aswMBR.txt"
         
das rote wurde auch bei mir im dos fenster rot angezeigt

eset:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=4992b3616d831b429a91e6b8ac7632eb
# engine=13823
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-14 01:09:27
# local_time=2013-05-14 03:09:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 116193 139165072 0 0
# compatibility_mode=5893 16776574 66 29 0 58827771 0 0
# scanned=300225
# found=18
# cleaned=0
# scan_time=7632
sh=CCB938D9BEA1626D4786D96ED26A96EE392E314B ft=1 fh=0c5d2e9df5c5a0a5 vn="Win64/Patched.A.Gen trojan" ac=I fn="C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\services.exe_kernel.mbam"
sh=CCB938D9BEA1626D4786D96ED26A96EE392E314B ft=1 fh=0c5d2e9df5c5a0a5 vn="Win64/Patched.A.Gen trojan" ac=I fn="C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\services.exe_user.mbam"
sh=CCB938D9BEA1626D4786D96ED26A96EE392E314B ft=1 fh=0c5d2e9df5c5a0a5 vn="Win64/Patched.A.Gen trojan" ac=I fn="C:\Users\All Users\Malwarebytes\Malwarebytes' Anti-Malware\services.exe_kernel.mbam"
sh=CCB938D9BEA1626D4786D96ED26A96EE392E314B ft=1 fh=0c5d2e9df5c5a0a5 vn="Win64/Patched.A.Gen trojan" ac=I fn="C:\Users\All Users\Malwarebytes\Malwarebytes' Anti-Malware\services.exe_user.mbam"
sh=477E81C21DC76367955C4F5AF1EFFA6610DBC982 ft=0 fh=0000000000000000 vn="Win32/Spy.SpyEye.CFG.A trojan" ac=I fn="C:\winlogon\07E2D97D4399A63"
sh=85EC035F158030BE32C4FD8C4EDA97749A986CFB ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\53763b11-4745c6dc"
sh=B244A5E4232C14D7AFF516CB4F1740FB557BC89E ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\74b3b716-7d8da029"
sh=C22545C83793BF9BB9692733AF7E9312AAAA1E31 ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.OFC trojan" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\4c1064dd-38c3ec8e"
sh=9EE86F1BF00B85D299567DACD297E264115FD743 ft=0 fh=0000000000000000 vn="a variant of Java/TrojanDownloader.Agent.NDR trojan" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\1b8d8383-69349c21"
sh=F55FA64AE13EB8F41C179ADF73EB845C064D7DA7 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\6065e31e-6e5beca6"
sh=78A220DE065F2FA95C1A8BF8ABBA86694BFEDC2D ft=0 fh=0000000000000000 vn="Java/Exploit.CVE-2011-3544.S trojan" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\4683f369-32e68402"
sh=4399DB04D883970D1AEE881FC7A54ED5B1A2FA11 ft=1 fh=f6f2ee1fa8764f0a vn="a variant of Win32/Kryptik.ACZF trojan" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\18ebb12e-39a35035"
sh=4C73EE660C00DA66A6F6A1407FCD345F873A99BD ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.OFQ trojan" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\b1944c5-4b5e7a2e"
sh=000414840D5E01F6A8CBFF6521C176EB3C936A68 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\174458f5-1ee13977"
sh=60E92F665A38D74DBCC05C5175295F3FD15AFB98 ft=1 fh=58891c6796aae6c2 vn="Win32/Spy.Zbot.AAO trojan" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\Roaming\Acyt\ibwao.exe"
sh=F143C8234F59E3EC9F0A3CD40D0E479AD455D51F ft=1 fh=16d0d37a5c039099 vn="Win32/Spy.Zbot.AAO trojan" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\Roaming\Byicex\zeol.exe"
sh=C42ADA1713FB8A9A78EEBA441FD197D67D93D617 ft=1 fh=16d0d37a5c039099 vn="Win32/Spy.Zbot.AAO trojan" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Users\WeAreOne\AppData\Roaming\Ebyd\yhba.exe"
sh=061A3739739904F13A5B9ADCBF4AC2E8A3157B18 ft=1 fh=3f70b78fb0084ee4 vn="Win64/Sirefef.AW trojan" ac=I fn="C:\_OTL\MovedFiles\05132013_232023\C_Windows\Installer\{24fa4855-d28d-c57a-4066-179db84cb00f}\U\80000000.@"
         

securitycheck:

Code:
ATTFilter
 Results of screen317's Security Check version 0.99.63  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!  (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java(TM) 6 Update 26  
 Java version out of Date! 
 Adobe Flash Player 11.7.700.169  
 Adobe Reader 9 Adobe Reader out of Date! 
 Mozilla Firefox (20.0.1) 
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamgui.exe  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
 Malwarebytes' Anti-Malware mbamscheduler.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Alt 14.05.2013, 12:09   #11
t'john
/// Helfer-Team
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
:Files
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\services.exe_kernel.mbam
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\services.exe_user.mbam
C:\Users\All Users\Malwarebytes\Malwarebytes' Anti-Malware\services.exe_kernel.mbam
C:\Users\All Users\Malwarebytes\Malwarebytes' Anti-Malware\services.exe_user.mbam
C:\winlogon\07E2D97D4399A63
         
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread



Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.



Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)
Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die .exe-Datei
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 21 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 14.05.2013, 17:31   #12
gummibaum
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



hey,

ich häng grad an dem schritt "alle älteren java versionen löschen" fest...

es waren noch 2 andere da,eine konnt ich ganz normal löschen,bei der anderen kommt die meldung welche ich als bild mit angehängt habe.

ich musste ein foto mit dem handy machen da ich kein screenshot machen konnte wenn die meldung kam,keine ahnung warum...

ich frag nur vorsichtshalber da in diesem ordner ja alles voll mit torjanern war wenn ich mich nicht irre..
Miniaturansicht angehängter Grafiken
-meldung.jpg  

Geändert von gummibaum (14.05.2013 um 18:21 Uhr)

Alt 14.05.2013, 18:33   #13
t'john
/// Helfer-Team
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



Bitte mal die Deteils anzeigen lassen.
__________________
Mfg, t'john
Das TB unterstützen

Alt 14.05.2013, 18:40   #14
gummibaum
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



hier^^
Miniaturansicht angehängter Grafiken
-dsc_0073.jpg  

Alt 14.05.2013, 18:44   #15
t'john
/// Helfer-Team
 
malware lässt sich nicht löschen! - Standard

malware lässt sich nicht löschen!



mhm 7u17 hattest du nicht installiert?

wann kam der Installer?
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu malware lässt sich nicht löschen!
adware/adware.gen7, adware/bandoo.f, backdoor.0access, exp/2012-0507.d.1, malware.trace, rootkit.0access, tr/agent.225280.436, tr/agent.49152.424, tr/atraps.gen2, tr/bublik.i.8, tr/bublik.i.9, tr/crypt.ulpm.gen, tr/crypt.xpack.gen, tr/crypt.zpack.gen, tr/gendal.15360, tr/ransom.blocker.bdza, tr/sirefef.abx, trojan.agent, trojan.bitminer, trojan.fakealert, trojan.ransom.bp, trojan.vbagent.ed, w32/patched.uc, win32/spy.spyeye.cfg.a, win64/patched.a.gen



Ähnliche Themen: malware lässt sich nicht löschen!


  1. Windows 8 : Goodgame Empire hat sich selbst installiert, lässt sich nicht löschen
    Log-Analyse und Auswertung - 27.01.2015 (1)
  2. TR/Crypt.EPACK.20167 -- lässt sich nicht löschen -- Echtzeitscanner lässt sich nicht aktivieren
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (29)
  3. Pokki lässt sich nicht löschen !!
    Plagegeister aller Art und deren Bekämpfung - 20.11.2014 (32)
  4. Windows 7: Activeris Anti Malware lässt sich nicht löschen
    Log-Analyse und Auswertung - 15.07.2014 (5)
  5. Laptop ruckelt nur noch, Iminent lässt sich nicht löschen und Radio schaltet sich alleine an und aus und lässt sich ebenfalls nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 27.06.2014 (3)
  6. Malware lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 14.11.2013 (24)
  7. malware: antivirus security pro -anty-malware lässt sich nicht installieren
    Plagegeister aller Art und deren Bekämpfung - 03.10.2013 (15)
  8. Malware/ Spyware lässt sich trotz mehrerer scanns nicht löschen!
    Log-Analyse und Auswertung - 24.06.2013 (43)
  9. TR/ATRAPS.Gen2 gefunden; Backdoor Agent lässt sich nicht löschen; mediashifting.com öffnet sich
    Plagegeister aller Art und deren Bekämpfung - 23.01.2012 (29)
  10. tabs öffnen sich automatisch, reg-Eintrag lässt sich mit mbam nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 29.12.2011 (13)
  11. Personal Shield Pro - Anti-Malware beendet sich und lässt sich nicht mehr starten-auch nicht mit OTH
    Log-Analyse und Auswertung - 18.08.2011 (1)
  12. Malware lässt sich unter Kaspersky 2011 nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 27.02.2011 (8)
  13. Anti Malware Doctor lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 04.06.2010 (10)
  14. Datei/virus lässt sich nicht löschen und lässt Explorer crashen!
    Plagegeister aller Art und deren Bekämpfung - 11.04.2010 (2)
  15. HILFE!!! Virus/Wurm/Malware iexplore.exe lässt sich nicht löschen
    Mülltonne - 19.03.2010 (10)
  16. AV 360 lässt sich nicht löschen
    Log-Analyse und Auswertung - 21.03.2009 (4)
  17. dll lässt sich nicht löschen
    Log-Analyse und Auswertung - 05.12.2008 (0)

Zum Thema malware lässt sich nicht löschen! - huhu, mein windows 7 läuft seit 2010 ohne probleme.nie einen virus oder so gehabt. jetzt hab ich aber direkt mehrere nach dem download sehr alter treiber für den laptop eines - malware lässt sich nicht löschen!...
Archiv
Du betrachtest: malware lässt sich nicht löschen! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.