Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.05.2013, 10:34   #1
Josy83
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Hallo Leute,

beim letzten Systemdurchlauf von Avira wurden diverse Trojaner und Maleware gefunden.
Unter anderem 'JAVA/Jogek.ckr' , 'TR/Ransom.Blocker.bemi', 'EXP/CVE-2010-0840.BB', 'JAVA/Jogek.ckr'. Trotz Verschieben in Quarantäne und löschen kommen sie wieder.

Wie bring ich diese Trojaner wieder von meinem PC runter.

Kann mir bitte jemand helfen?

Mit freundlichen Grüßen Josy

Alt 15.05.2013, 13:34   #2
t'john
/// Helfer-Team
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!





Log von Antivir erstellen: http://www.trojaner-board.de/125889-...en-posten.html


dann:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 15.05.2013, 14:22   #3
Josy83
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Sorry für den doppelten Thread! Wusste nicht ob ich im richtigen Themenbereich bin!

Die logs werd ich sobald ich wieder daheim bin reinstellen!

Danke für die schnelle Antwort!

Gruß Josy
__________________

Alt 15.05.2013, 16:33   #4
t'john
/// Helfer-Team
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Alles klar.
__________________
Mfg, t'john
Das TB unterstützen

Alt 15.05.2013, 17:16   #5
Josy83
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Hallo nochmal,

ich hab jetz Avira nach Aufforderung neu zu starten um zu reparieren und nochmal eine komplette Systemprüfung durchzuführen, ein zweites mal drüber laufen lassen und er meldet keine Funde mehr.

Kann ich nun davon ausgehen dass alles passt und alles bereinigt ist, oder soll ich trotzdem die OTL.exe mal ausführen und das logfile posten?

Gruß Josy


Alt 15.05.2013, 17:22   #6
t'john
/// Helfer-Team
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Zitat:
Kann ich nun davon ausgehen dass alles passt und alles bereinigt ist
Nein.

Exportiere die Funde aus Avira, wie hier beschrieben: http://www.trojaner-board.de/125889-...en-posten.html

dann OTL
__________________
--> Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!

Alt 16.05.2013, 08:35   #7
Josy83
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Hier meine Logfiles von Avira:

Code:
ATTFilter
Exportierte Ereignisse:

16.05.2013 09:05 [Echtzeit-Scanner] Malware gefunden
      In der Datei 'C:\Users\Josef\AppData\Local\Temp\tmpa134ddab\las.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Zbot.245760.257' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

15.05.2013 13:03 [System-Scanner] Malware gefunden
      Die Datei 'C:\Users\Josef\AppData\Roaming\ie_util.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Drop.Dapato.cdtt' [trojan].
      Durchgeführte Aktion(en):
      Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler 
      aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
      Die Datei konnte nicht gelöscht werden!
      Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
      Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
      Die Datei konnte nicht gelöscht werden!
      Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche 
      Ursache: Zugriff verweigert
      .
      Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

15.05.2013 13:03 [System-Scanner] Malware gefunden
      Die Datei 'C:\Users\Josef\AppData\Local\Temp\tmpca69eb6d\84.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Drop.Dapato.cdtt' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78cafeca.qua' 
      verschoben!

15.05.2013 13:02 [System-Scanner] Malware gefunden
      Die Datei 'C:\Users\Josef\Desktop\Technikerunterlagen und Software\Unterlagen 
      vom DAA\DAA-Technikum 2_1\NeuerLehrgang\Korrekturen\C-Files\Gleitpunkt-max.exe'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/Prorat.xwi' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '540cc45a.qua' 
      verschoben!

15.05.2013 10:37 [System-Scanner] Malware gefunden
      Die Datei 'C:\Users\Josef\AppData\Roaming\ie_util.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Drop.Dapato.cdtt' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

14.05.2013 13:09 [System-Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Josef\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\7b281703-34971a
      7e'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2010-0840.BB' 
      [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1de3cea7.qua' 
      verschoben!

14.05.2013 13:09 [System-Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Josef\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\28f62c9e-66bbe
      ed8'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Jogek.ckr' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f809475.qua' 
      verschoben!

14.05.2013 13:09 [System-Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Josef\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\64db11f1-332b1
      dc1'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Jogek.ckr' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5719bbd6.qua' 
      verschoben!

14.05.2013 13:09 [System-Scanner] Malware gefunden
      Die Datei 'C:\Users\Josef\AppData\Local\Temp\tmp13105636\99.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.Blocker.bemi' 
      [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3e54ac62.qua' 
      verschoben!

14.05.2013 13:09 [System-Scanner] Malware gefunden
      Die Datei 'C:\Users\Josef\AppData\Local\Temp\tmp8b393cce\34.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.Blocker.bejm' 
      [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bd0815b.qua' 
      verschoben!

14.05.2013 11:08 [System-Scanner] Malware gefunden
      Die Datei 'C:\Users\Josef\AppData\Roaming\ie_util.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.Blocker.bemi' 
      [trojan].
      Durchgeführte Aktion(en):
      Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler 
      aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
      Die Quelldatei konnte nicht gefunden werden.
      Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
      Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
      Die Datei existiert nicht!

03.05.2013 12:21 [Browser-Schutz] Malware gefunden
      Beim Zugriff auf Daten der URL 
      "hxxp://www.storebox1.info/v890/?product_name=03%20Armin%20van%20Buuren%20&%20Ma
      rkus%20Schulz%20-%20The%20Expedition%20(A%20State%20Of%20Trance%20600%20Anthem)%
      20(Orjan%20Nilsen%20Remix).mp3&filesize=8.2%20MB&product_title=Mighty%20upload%2
      0download%20accelerator%20&installer_file_name=03%20Armin%20van%20Buuren%20&%20M
      arkus%20Schulz%20-%20The%20Expedition%20(A%20State%20Of%20Trance%20600%20Anthem)
      %20(Orjan%20Nilsen%20Remix).mp3-Mightyupload_accelerator&product_file_name=03%20
      Armin%20van%20Buuren%20&%20Markus%20Schulz%20-%20The%20Expedition%20(A%20State%2
      0Of%20Trance%20600%20Anthem)%20(Orjan%20Nilsen%20Remix).mp3&product_download_url
      =hxxp://206.190.134.68:182/d/6c74ntu4vle32chjpedx7cvaqn37fg2y3fychoj7yvj4nf43xs7
      l3mgm/03%20Armin%20van%20Buuren%20&%20Markus%20Schulz%20-%20The%20Expedition%20(
      A%20State%20Of%20Trance%20600%20Anthem)%20(Orjan%20Nilsen%20Remix).mp3"
      wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Agent.hlxb' [trojan] 
      gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert
         
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 15. Mai 2013  08:42


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : ****
Computername   : ****

Versionsinformationen:
BUILD.DAT      : 13.0.0.3640          Bytes  18.04.2013 13:29:00
AVSCAN.EXE     : 13.6.0.1262   636984 Bytes  02.05.2013 08:58:39
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  12.12.2012 09:22:45
LUKE.DLL       : 13.6.0.1262    65080 Bytes  02.05.2013 08:59:08
AVSCPLR.DLL    : 13.6.0.1262    92216 Bytes  02.05.2013 08:58:40
AVREG.DLL      : 13.6.0.1262   247864 Bytes  02.05.2013 08:58:36
avlode.dll     : 13.6.2.1262   432184 Bytes  02.05.2013 08:58:36
avlode.rdf     : 13.0.0.46      15591 Bytes  28.03.2013 15:27:06
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 10:45:29
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 13:18:41
VBASE002.VDF   : 7.11.74.227     2048 Bytes  30.04.2013 13:18:41
VBASE003.VDF   : 7.11.74.228     2048 Bytes  30.04.2013 13:18:42
VBASE004.VDF   : 7.11.74.229     2048 Bytes  30.04.2013 13:18:42
VBASE005.VDF   : 7.11.74.230     2048 Bytes  30.04.2013 13:18:42
VBASE006.VDF   : 7.11.74.231     2048 Bytes  30.04.2013 13:18:42
VBASE007.VDF   : 7.11.74.232     2048 Bytes  30.04.2013 13:18:42
VBASE008.VDF   : 7.11.74.233     2048 Bytes  30.04.2013 13:18:42
VBASE009.VDF   : 7.11.74.234     2048 Bytes  30.04.2013 13:18:42
VBASE010.VDF   : 7.11.74.235     2048 Bytes  30.04.2013 13:18:43
VBASE011.VDF   : 7.11.74.236     2048 Bytes  30.04.2013 13:18:43
VBASE012.VDF   : 7.11.74.237     2048 Bytes  30.04.2013 13:18:43
VBASE013.VDF   : 7.11.74.238     2048 Bytes  30.04.2013 13:18:43
VBASE014.VDF   : 7.11.75.97    181248 Bytes  02.05.2013 08:58:20
VBASE015.VDF   : 7.11.75.183   217600 Bytes  03.05.2013 10:38:18
VBASE016.VDF   : 7.11.76.27    183808 Bytes  04.05.2013 07:36:04
VBASE017.VDF   : 7.11.76.101   194048 Bytes  06.05.2013 14:51:47
VBASE018.VDF   : 7.11.76.213   163328 Bytes  07.05.2013 08:49:50
VBASE019.VDF   : 7.11.77.41    134656 Bytes  08.05.2013 08:49:51
VBASE020.VDF   : 7.11.77.145   141312 Bytes  10.05.2013 08:49:52
VBASE021.VDF   : 7.11.77.225   155648 Bytes  12.05.2013 15:16:53
VBASE022.VDF   : 7.11.78.21    202752 Bytes  13.05.2013 10:38:17
VBASE023.VDF   : 7.11.78.71    140800 Bytes  13.05.2013 08:22:26
VBASE024.VDF   : 7.11.78.147   167936 Bytes  15.05.2013 06:36:46
VBASE025.VDF   : 7.11.78.148     2048 Bytes  15.05.2013 06:36:46
VBASE026.VDF   : 7.11.78.149     2048 Bytes  15.05.2013 06:36:46
VBASE027.VDF   : 7.11.78.150     2048 Bytes  15.05.2013 06:36:46
VBASE028.VDF   : 7.11.78.151     2048 Bytes  15.05.2013 06:36:46
VBASE029.VDF   : 7.11.78.152     2048 Bytes  15.05.2013 06:36:46
VBASE030.VDF   : 7.11.78.153     2048 Bytes  15.05.2013 06:36:47
VBASE031.VDF   : 7.11.78.176    29184 Bytes  15.05.2013 06:36:47
Engineversion  : 8.2.12.42 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.114     483709 Bytes  10.05.2013 14:53:44
AESCN.DLL      : 8.1.10.4      131446 Bytes  27.03.2013 14:43:31
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.2.0.88      643444 Bytes  11.01.2013 10:20:46
AEPACK.DLL     : 8.3.2.12      754040 Bytes  10.05.2013 08:50:02
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  10.03.2013 17:46:11
AEHEUR.DLL     : 8.1.4.358    5898617 Bytes  13.05.2013 10:38:26
AEHELP.DLL     : 8.1.25.10     258425 Bytes  10.05.2013 08:49:55
AEGEN.DLL      : 8.1.7.4       442741 Bytes  10.05.2013 08:49:54
AEEXP.DLL      : 8.4.0.28      201078 Bytes  10.05.2013 14:53:44
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.31.2      201080 Bytes  21.02.2013 13:00:31
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:00:38
AVWINLL.DLL    : 13.6.0.480     26480 Bytes  06.02.2013 11:00:57
AVPREF.DLL     : 13.6.0.480     51056 Bytes  06.02.2013 11:01:09
AVREP.DLL      : 13.6.0.480    178544 Bytes  05.02.2013 11:00:57
AVARKT.DLL     : 13.6.0.1262   258104 Bytes  02.05.2013 08:58:30
AVEVTLOG.DLL   : 13.6.0.1262   164920 Bytes  02.05.2013 08:58:34
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.6.0.480     62832 Bytes  06.02.2013 11:01:12
NETNT.DLL      : 13.6.0.480     16240 Bytes  06.02.2013 11:01:56
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  12.12.2012 09:22:26
RCTEXT.DLL     : 13.6.0.976     69344 Bytes  20.03.2013 11:00:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 15. Mai 2013  08:42

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\3S-Smart Software Solutions GmbH
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Adobe
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\America Online
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Apple Computer, Inc.
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\ASIO
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\CyberLink
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\DivXNetworks
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Hewlett-Packard
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\AudioCompressionManager
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Direct3D
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\DirectDraw
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Default MHTML Editor
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\MediaPlayer
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\RAS AutoDial
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\NCH Swift Sound
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV64.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AESTSr64.exe' - '5' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPCapSvc.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPSched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'BLService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '143' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPKBDAPP.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray64.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesAirMessage.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'yrkeo.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'miutx.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.EXE' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'logger.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClientInitiatedStarter.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'ie_util.exe' - '40' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\Josef\AppData\Roaming\ie_util.exe>
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
  [WARNUNG]   Die Datei wurde ignoriert.
Durchsuche Prozess 'SynTPHelper.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'DbgOut.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'HTCVBTServer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsynSrvStarter.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphc_service.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\****\AppData\Roaming\ie_util.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
  [WARNUNG]   Die Datei wurde ignoriert.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Users\****\AppData\Local\Temp\tmpca69eb6d\84.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
C:\Users\****\AppData\Roaming\ie_util.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
C:\Users\****\Desktop\Technikerunterlagen und Software\Unterlagen vom DAA\DAA-Technikum 2_1\NeuerLehrgang\Korrekturen\C-Files\Gleitpunkt-max.exe
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Prorat.xwi
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'E:\' <HP_RECOVERY>

Beginne mit der Desinfektion:
C:\Users\****\Desktop\Technikerunterlagen und Software\Unterlagen vom DAA\DAA-Technikum 2_1\NeuerLehrgang\Korrekturen\C-Files\Gleitpunkt-max.exe
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Prorat.xwi
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '540cc45a.qua' verschoben!
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich entfernt.
C:\Users\****\AppData\Roaming\ie_util.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]   Die Datei konnte nicht gelöscht werden!
  [WARNUNG]   Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
  [HINWEIS]   Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich repariert.
C:\Users\****\AppData\Local\Temp\tmpca69eb6d\84.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78cafeca.qua' verschoben!
         
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 15. Mai 2013  08:42


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : ****
Computername   : ****

Versionsinformationen:
BUILD.DAT      : 13.0.0.3640          Bytes  18.04.2013 13:29:00
AVSCAN.EXE     : 13.6.0.1262   636984 Bytes  02.05.2013 08:58:39
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  12.12.2012 09:22:45
LUKE.DLL       : 13.6.0.1262    65080 Bytes  02.05.2013 08:59:08
AVSCPLR.DLL    : 13.6.0.1262    92216 Bytes  02.05.2013 08:58:40
AVREG.DLL      : 13.6.0.1262   247864 Bytes  02.05.2013 08:58:36
avlode.dll     : 13.6.2.1262   432184 Bytes  02.05.2013 08:58:36
avlode.rdf     : 13.0.0.46      15591 Bytes  28.03.2013 15:27:06
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 10:45:29
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 13:18:41
VBASE002.VDF   : 7.11.74.227     2048 Bytes  30.04.2013 13:18:41
VBASE003.VDF   : 7.11.74.228     2048 Bytes  30.04.2013 13:18:42
VBASE004.VDF   : 7.11.74.229     2048 Bytes  30.04.2013 13:18:42
VBASE005.VDF   : 7.11.74.230     2048 Bytes  30.04.2013 13:18:42
VBASE006.VDF   : 7.11.74.231     2048 Bytes  30.04.2013 13:18:42
VBASE007.VDF   : 7.11.74.232     2048 Bytes  30.04.2013 13:18:42
VBASE008.VDF   : 7.11.74.233     2048 Bytes  30.04.2013 13:18:42
VBASE009.VDF   : 7.11.74.234     2048 Bytes  30.04.2013 13:18:42
VBASE010.VDF   : 7.11.74.235     2048 Bytes  30.04.2013 13:18:43
VBASE011.VDF   : 7.11.74.236     2048 Bytes  30.04.2013 13:18:43
VBASE012.VDF   : 7.11.74.237     2048 Bytes  30.04.2013 13:18:43
VBASE013.VDF   : 7.11.74.238     2048 Bytes  30.04.2013 13:18:43
VBASE014.VDF   : 7.11.75.97    181248 Bytes  02.05.2013 08:58:20
VBASE015.VDF   : 7.11.75.183   217600 Bytes  03.05.2013 10:38:18
VBASE016.VDF   : 7.11.76.27    183808 Bytes  04.05.2013 07:36:04
VBASE017.VDF   : 7.11.76.101   194048 Bytes  06.05.2013 14:51:47
VBASE018.VDF   : 7.11.76.213   163328 Bytes  07.05.2013 08:49:50
VBASE019.VDF   : 7.11.77.41    134656 Bytes  08.05.2013 08:49:51
VBASE020.VDF   : 7.11.77.145   141312 Bytes  10.05.2013 08:49:52
VBASE021.VDF   : 7.11.77.225   155648 Bytes  12.05.2013 15:16:53
VBASE022.VDF   : 7.11.78.21    202752 Bytes  13.05.2013 10:38:17
VBASE023.VDF   : 7.11.78.71    140800 Bytes  13.05.2013 08:22:26
VBASE024.VDF   : 7.11.78.147   167936 Bytes  15.05.2013 06:36:46
VBASE025.VDF   : 7.11.78.148     2048 Bytes  15.05.2013 06:36:46
VBASE026.VDF   : 7.11.78.149     2048 Bytes  15.05.2013 06:36:46
VBASE027.VDF   : 7.11.78.150     2048 Bytes  15.05.2013 06:36:46
VBASE028.VDF   : 7.11.78.151     2048 Bytes  15.05.2013 06:36:46
VBASE029.VDF   : 7.11.78.152     2048 Bytes  15.05.2013 06:36:46
VBASE030.VDF   : 7.11.78.153     2048 Bytes  15.05.2013 06:36:47
VBASE031.VDF   : 7.11.78.176    29184 Bytes  15.05.2013 06:36:47
Engineversion  : 8.2.12.42 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.114     483709 Bytes  10.05.2013 14:53:44
AESCN.DLL      : 8.1.10.4      131446 Bytes  27.03.2013 14:43:31
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.2.0.88      643444 Bytes  11.01.2013 10:20:46
AEPACK.DLL     : 8.3.2.12      754040 Bytes  10.05.2013 08:50:02
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  10.03.2013 17:46:11
AEHEUR.DLL     : 8.1.4.358    5898617 Bytes  13.05.2013 10:38:26
AEHELP.DLL     : 8.1.25.10     258425 Bytes  10.05.2013 08:49:55
AEGEN.DLL      : 8.1.7.4       442741 Bytes  10.05.2013 08:49:54
AEEXP.DLL      : 8.4.0.28      201078 Bytes  10.05.2013 14:53:44
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.31.2      201080 Bytes  21.02.2013 13:00:31
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:00:38
AVWINLL.DLL    : 13.6.0.480     26480 Bytes  06.02.2013 11:00:57
AVPREF.DLL     : 13.6.0.480     51056 Bytes  06.02.2013 11:01:09
AVREP.DLL      : 13.6.0.480    178544 Bytes  05.02.2013 11:00:57
AVARKT.DLL     : 13.6.0.1262   258104 Bytes  02.05.2013 08:58:30
AVEVTLOG.DLL   : 13.6.0.1262   164920 Bytes  02.05.2013 08:58:34
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.6.0.480     62832 Bytes  06.02.2013 11:01:12
NETNT.DLL      : 13.6.0.480     16240 Bytes  06.02.2013 11:01:56
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  12.12.2012 09:22:26
RCTEXT.DLL     : 13.6.0.976     69344 Bytes  20.03.2013 11:00:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 15. Mai 2013  08:42

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\3S-Smart Software Solutions GmbH
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Adobe
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\America Online
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Apple Computer, Inc.
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\ASIO
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\CyberLink
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\DivXNetworks
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Hewlett-Packard
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\AudioCompressionManager
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Direct3D
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\DirectDraw
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Default MHTML Editor
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\MediaPlayer
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\RAS AutoDial
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\NCH Swift Sound
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV64.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AESTSr64.exe' - '5' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPCapSvc.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPSched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'BLService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '143' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPKBDAPP.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray64.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesAirMessage.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'yrkeo.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'miutx.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.EXE' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'logger.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClientInitiatedStarter.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'ie_util.exe' - '40' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\Josef\AppData\Roaming\ie_util.exe>
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
  [WARNUNG]   Die Datei wurde ignoriert.
Durchsuche Prozess 'SynTPHelper.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'DbgOut.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'HTCVBTServer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsynSrvStarter.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphc_service.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\****\AppData\Roaming\ie_util.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
  [WARNUNG]   Die Datei wurde ignoriert.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Users\****\AppData\Local\Temp\tmpca69eb6d\84.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
C:\Users\****\AppData\Roaming\ie_util.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
C:\Users\****\Desktop\Technikerunterlagen und Software\Unterlagen vom DAA\DAA-Technikum 2_1\NeuerLehrgang\Korrekturen\C-Files\Gleitpunkt-max.exe
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Prorat.xwi
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'E:\' <HP_RECOVERY>

Beginne mit der Desinfektion:
C:\Users\****\Desktop\Technikerunterlagen und Software\Unterlagen vom DAA\DAA-Technikum 2_1\NeuerLehrgang\Korrekturen\C-Files\Gleitpunkt-max.exe
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Prorat.xwi
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '540cc45a.qua' verschoben!
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich entfernt.
C:\Users\****\AppData\Roaming\ie_util.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]   Die Datei konnte nicht gelöscht werden!
  [WARNUNG]   Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
  [HINWEIS]   Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich repariert.
C:\Users\****\AppData\Local\Temp\tmpca69eb6d\84.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dapato.cdtt
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78cafeca.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 15. Mai 2013  13:04
Benötigte Zeit:  4:19:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  46047 Verzeichnisse wurden überprüft
 1510392 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1510387 Dateien ohne Befall
  14583 Archive wurden durchsucht
      3 Warnungen
     18 Hinweise
 1139375 Objekte wurden beim Rootkitscan durchsucht
     15 Versteckte Objekte wurden gefunden

Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.
         

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 15. Mai 2013  13:14


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : ****
Computername   : ****

Versionsinformationen:
BUILD.DAT      : 13.0.0.3640          Bytes  18.04.2013 13:29:00
AVSCAN.EXE     : 13.6.0.1262   636984 Bytes  02.05.2013 08:58:39
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  12.12.2012 09:22:45
LUKE.DLL       : 13.6.0.1262    65080 Bytes  02.05.2013 08:59:08
AVSCPLR.DLL    : 13.6.0.1262    92216 Bytes  02.05.2013 08:58:40
AVREG.DLL      : 13.6.0.1262   247864 Bytes  02.05.2013 08:58:36
avlode.dll     : 13.6.2.1262   432184 Bytes  02.05.2013 08:58:36
avlode.rdf     : 13.0.0.46      15591 Bytes  28.03.2013 15:27:06
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 10:45:29
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 13:18:41
VBASE002.VDF   : 7.11.74.227     2048 Bytes  30.04.2013 13:18:41
VBASE003.VDF   : 7.11.74.228     2048 Bytes  30.04.2013 13:18:42
VBASE004.VDF   : 7.11.74.229     2048 Bytes  30.04.2013 13:18:42
VBASE005.VDF   : 7.11.74.230     2048 Bytes  30.04.2013 13:18:42
VBASE006.VDF   : 7.11.74.231     2048 Bytes  30.04.2013 13:18:42
VBASE007.VDF   : 7.11.74.232     2048 Bytes  30.04.2013 13:18:42
VBASE008.VDF   : 7.11.74.233     2048 Bytes  30.04.2013 13:18:42
VBASE009.VDF   : 7.11.74.234     2048 Bytes  30.04.2013 13:18:42
VBASE010.VDF   : 7.11.74.235     2048 Bytes  30.04.2013 13:18:43
VBASE011.VDF   : 7.11.74.236     2048 Bytes  30.04.2013 13:18:43
VBASE012.VDF   : 7.11.74.237     2048 Bytes  30.04.2013 13:18:43
VBASE013.VDF   : 7.11.74.238     2048 Bytes  30.04.2013 13:18:43
VBASE014.VDF   : 7.11.75.97    181248 Bytes  02.05.2013 08:58:20
VBASE015.VDF   : 7.11.75.183   217600 Bytes  03.05.2013 10:38:18
VBASE016.VDF   : 7.11.76.27    183808 Bytes  04.05.2013 07:36:04
VBASE017.VDF   : 7.11.76.101   194048 Bytes  06.05.2013 14:51:47
VBASE018.VDF   : 7.11.76.213   163328 Bytes  07.05.2013 08:49:50
VBASE019.VDF   : 7.11.77.41    134656 Bytes  08.05.2013 08:49:51
VBASE020.VDF   : 7.11.77.145   141312 Bytes  10.05.2013 08:49:52
VBASE021.VDF   : 7.11.77.225   155648 Bytes  12.05.2013 15:16:53
VBASE022.VDF   : 7.11.78.21    202752 Bytes  13.05.2013 10:38:17
VBASE023.VDF   : 7.11.78.71    140800 Bytes  13.05.2013 08:22:26
VBASE024.VDF   : 7.11.78.147   167936 Bytes  15.05.2013 06:36:46
VBASE025.VDF   : 7.11.78.148     2048 Bytes  15.05.2013 06:36:46
VBASE026.VDF   : 7.11.78.149     2048 Bytes  15.05.2013 06:36:46
VBASE027.VDF   : 7.11.78.150     2048 Bytes  15.05.2013 06:36:46
VBASE028.VDF   : 7.11.78.151     2048 Bytes  15.05.2013 06:36:46
VBASE029.VDF   : 7.11.78.152     2048 Bytes  15.05.2013 06:36:46
VBASE030.VDF   : 7.11.78.153     2048 Bytes  15.05.2013 06:36:47
VBASE031.VDF   : 7.11.78.180    34304 Bytes  15.05.2013 10:38:33
Engineversion  : 8.2.12.42 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.114     483709 Bytes  10.05.2013 14:53:44
AESCN.DLL      : 8.1.10.4      131446 Bytes  27.03.2013 14:43:31
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.2.0.88      643444 Bytes  11.01.2013 10:20:46
AEPACK.DLL     : 8.3.2.12      754040 Bytes  10.05.2013 08:50:02
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  10.03.2013 17:46:11
AEHEUR.DLL     : 8.1.4.358    5898617 Bytes  13.05.2013 10:38:26
AEHELP.DLL     : 8.1.25.10     258425 Bytes  10.05.2013 08:49:55
AEGEN.DLL      : 8.1.7.4       442741 Bytes  10.05.2013 08:49:54
AEEXP.DLL      : 8.4.0.28      201078 Bytes  10.05.2013 14:53:44
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.31.2      201080 Bytes  21.02.2013 13:00:31
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:00:38
AVWINLL.DLL    : 13.6.0.480     26480 Bytes  06.02.2013 11:00:57
AVPREF.DLL     : 13.6.0.480     51056 Bytes  06.02.2013 11:01:09
AVREP.DLL      : 13.6.0.480    178544 Bytes  05.02.2013 11:00:57
AVARKT.DLL     : 13.6.0.1262   258104 Bytes  02.05.2013 08:58:30
AVEVTLOG.DLL   : 13.6.0.1262   164920 Bytes  02.05.2013 08:58:34
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.6.0.480     62832 Bytes  06.02.2013 11:01:12
NETNT.DLL      : 13.6.0.480     16240 Bytes  06.02.2013 11:01:56
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  12.12.2012 09:22:26
RCTEXT.DLL     : 13.6.0.976     69344 Bytes  20.03.2013 11:00:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 15. Mai 2013  13:14

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\3S-Smart Software Solutions GmbH
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Adobe
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\America Online
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Apple Computer, Inc.
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\ASIO
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\CyberLink
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\DivXNetworks
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Hewlett-Packard
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\AudioCompressionManager
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Direct3D
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\DirectDraw
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Default MHTML Editor
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\MediaPlayer
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\RAS AutoDial
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\NCH Swift Sound
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV64.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPKBDAPP.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray64.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'AESTSr64.exe' - '5' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPCapSvc.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPSched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'BLService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Kies.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesAirMessage.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'yrkeo.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'miutx.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'logger.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.EXE' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClientInitiatedStarter.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'DbgOut.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'HTCVBTServer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsynSrvStarter.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphc_service.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4027' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'E:\' <HP_RECOVERY>


Ende des Suchlaufs: Mittwoch, 15. Mai 2013  17:49
Benötigte Zeit:  4:34:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  46063 Verzeichnisse wurden überprüft
 1510685 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1510685 Dateien ohne Befall
  14593 Archive wurden durchsucht
      0 Warnungen
     15 Hinweise
 1141094 Objekte wurden beim Rootkitscan durchsucht
     15 Versteckte Objekte wurden gefunden
         
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 15. Mai 2013  13:14


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : ****
Computername   : ****

Versionsinformationen:
BUILD.DAT      : 13.0.0.3640          Bytes  18.04.2013 13:29:00
AVSCAN.EXE     : 13.6.0.1262   636984 Bytes  02.05.2013 08:58:39
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  12.12.2012 09:22:45
LUKE.DLL       : 13.6.0.1262    65080 Bytes  02.05.2013 08:59:08
AVSCPLR.DLL    : 13.6.0.1262    92216 Bytes  02.05.2013 08:58:40
AVREG.DLL      : 13.6.0.1262   247864 Bytes  02.05.2013 08:58:36
avlode.dll     : 13.6.2.1262   432184 Bytes  02.05.2013 08:58:36
avlode.rdf     : 13.0.0.46      15591 Bytes  28.03.2013 15:27:06
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 10:45:29
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 13:18:41
VBASE002.VDF   : 7.11.74.227     2048 Bytes  30.04.2013 13:18:41
VBASE003.VDF   : 7.11.74.228     2048 Bytes  30.04.2013 13:18:42
VBASE004.VDF   : 7.11.74.229     2048 Bytes  30.04.2013 13:18:42
VBASE005.VDF   : 7.11.74.230     2048 Bytes  30.04.2013 13:18:42
VBASE006.VDF   : 7.11.74.231     2048 Bytes  30.04.2013 13:18:42
VBASE007.VDF   : 7.11.74.232     2048 Bytes  30.04.2013 13:18:42
VBASE008.VDF   : 7.11.74.233     2048 Bytes  30.04.2013 13:18:42
VBASE009.VDF   : 7.11.74.234     2048 Bytes  30.04.2013 13:18:42
VBASE010.VDF   : 7.11.74.235     2048 Bytes  30.04.2013 13:18:43
VBASE011.VDF   : 7.11.74.236     2048 Bytes  30.04.2013 13:18:43
VBASE012.VDF   : 7.11.74.237     2048 Bytes  30.04.2013 13:18:43
VBASE013.VDF   : 7.11.74.238     2048 Bytes  30.04.2013 13:18:43
VBASE014.VDF   : 7.11.75.97    181248 Bytes  02.05.2013 08:58:20
VBASE015.VDF   : 7.11.75.183   217600 Bytes  03.05.2013 10:38:18
VBASE016.VDF   : 7.11.76.27    183808 Bytes  04.05.2013 07:36:04
VBASE017.VDF   : 7.11.76.101   194048 Bytes  06.05.2013 14:51:47
VBASE018.VDF   : 7.11.76.213   163328 Bytes  07.05.2013 08:49:50
VBASE019.VDF   : 7.11.77.41    134656 Bytes  08.05.2013 08:49:51
VBASE020.VDF   : 7.11.77.145   141312 Bytes  10.05.2013 08:49:52
VBASE021.VDF   : 7.11.77.225   155648 Bytes  12.05.2013 15:16:53
VBASE022.VDF   : 7.11.78.21    202752 Bytes  13.05.2013 10:38:17
VBASE023.VDF   : 7.11.78.71    140800 Bytes  13.05.2013 08:22:26
VBASE024.VDF   : 7.11.78.147   167936 Bytes  15.05.2013 06:36:46
VBASE025.VDF   : 7.11.78.148     2048 Bytes  15.05.2013 06:36:46
VBASE026.VDF   : 7.11.78.149     2048 Bytes  15.05.2013 06:36:46
VBASE027.VDF   : 7.11.78.150     2048 Bytes  15.05.2013 06:36:46
VBASE028.VDF   : 7.11.78.151     2048 Bytes  15.05.2013 06:36:46
VBASE029.VDF   : 7.11.78.152     2048 Bytes  15.05.2013 06:36:46
VBASE030.VDF   : 7.11.78.153     2048 Bytes  15.05.2013 06:36:47
VBASE031.VDF   : 7.11.78.180    34304 Bytes  15.05.2013 10:38:33
Engineversion  : 8.2.12.42 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.114     483709 Bytes  10.05.2013 14:53:44
AESCN.DLL      : 8.1.10.4      131446 Bytes  27.03.2013 14:43:31
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.2.0.88      643444 Bytes  11.01.2013 10:20:46
AEPACK.DLL     : 8.3.2.12      754040 Bytes  10.05.2013 08:50:02
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  10.03.2013 17:46:11
AEHEUR.DLL     : 8.1.4.358    5898617 Bytes  13.05.2013 10:38:26
AEHELP.DLL     : 8.1.25.10     258425 Bytes  10.05.2013 08:49:55
AEGEN.DLL      : 8.1.7.4       442741 Bytes  10.05.2013 08:49:54
AEEXP.DLL      : 8.4.0.28      201078 Bytes  10.05.2013 14:53:44
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.31.2      201080 Bytes  21.02.2013 13:00:31
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:00:38
AVWINLL.DLL    : 13.6.0.480     26480 Bytes  06.02.2013 11:00:57
AVPREF.DLL     : 13.6.0.480     51056 Bytes  06.02.2013 11:01:09
AVREP.DLL      : 13.6.0.480    178544 Bytes  05.02.2013 11:00:57
AVARKT.DLL     : 13.6.0.1262   258104 Bytes  02.05.2013 08:58:30
AVEVTLOG.DLL   : 13.6.0.1262   164920 Bytes  02.05.2013 08:58:34
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.6.0.480     62832 Bytes  06.02.2013 11:01:12
NETNT.DLL      : 13.6.0.480     16240 Bytes  06.02.2013 11:01:56
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  12.12.2012 09:22:26
RCTEXT.DLL     : 13.6.0.976     69344 Bytes  20.03.2013 11:00:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 15. Mai 2013  13:14

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\3S-Smart Software Solutions GmbH
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Adobe
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\America Online
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Apple Computer, Inc.
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\ASIO
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\CyberLink
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\DivXNetworks
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Hewlett-Packard
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\AudioCompressionManager
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Direct3D
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\DirectDraw
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Default MHTML Editor
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\MediaPlayer
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\RAS AutoDial
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\NCH Swift Sound
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV64.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPKBDAPP.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray64.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'AESTSr64.exe' - '5' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPCapSvc.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPSched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'BLService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Kies.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesAirMessage.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'yrkeo.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'miutx.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'logger.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.EXE' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClientInitiatedStarter.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'DbgOut.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'HTCVBTServer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsynSrvStarter.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphc_service.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4027' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'E:\' <HP_RECOVERY>


Ende des Suchlaufs: Mittwoch, 15. Mai 2013  17:49
Benötigte Zeit:  4:34:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  46063 Verzeichnisse wurden überprüft
 1510685 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1510685 Dateien ohne Befall
  14593 Archive wurden durchsucht
      0 Warnungen
     15 Hinweise
 1141094 Objekte wurden beim Rootkitscan durchsucht
     15 Versteckte Objekte wurden gefunden
         
Das von OTL.exe folgt...

Gruß Josy

Alt 16.05.2013, 08:53   #8
t'john
/// Helfer-Team
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



OTL-Logs?
__________________
Mfg, t'john
Das TB unterstützen

Alt 16.05.2013, 09:01   #9
Josy83
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



kommen sofort...

Code:
ATTFilter
OTL logfile created on: 16.05.2013 09:40:23 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\****\Desktop\Virus entfernen
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,17 Gb Available Physical Memory | 54,30% Memory free
8,20 Gb Paging File | 6,20 Gb Available in Paging File | 75,53% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 222,96 Gb Total Space | 107,29 Gb Free Space | 48,12% Space Free | Partition Type: NTFS
Drive D: | 232,88 Gb Total Space | 232,78 Gb Free Space | 99,96% Space Free | Partition Type: NTFS
Drive E: | 9,92 Gb Total Space | 1,74 Gb Free Space | 17,54% Space Free | Partition Type: NTFS
 
Computer Name: **** | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\****\AppData\Roaming\ie_util.exe (Mandiant)
PRC - C:\Users\****\Desktop\Virus entfernen\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)
PRC - C:\Program Files (x86)\Samsung\Kies\Kies.exe (Samsung)
PRC - C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe (Samsung Electronics)
PRC - C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
PRC - C:\Users\****\AppData\Roaming\Osed\miutx.exe (Mandiant)
PRC - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
PRC - C:\Program Files (x86)\HTC\HTC Sync\ClientInitiatedStarter\ClientInitiatedStarter.exe (Teleca)
PRC - C:\Program Files (x86)\Common Files\Teleca Shared\Generic.exe (Teleca AB)
PRC - C:\Program Files (x86)\HTC\HTC Sync\Application Launcher\Application Launcher.exe (Teleca Sweden AB)
PRC - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
PRC - C:\Program Files (x86)\HTC\HTC Sync\Mobile Phone Monitor\DbgOut.exe (Teleca Sweden AB)
PRC - C:\Program Files (x86)\HTC\HTC Sync\Mobile Phone Monitor\epmworker.exe (Teleca Sweden AB)
PRC - C:\Program Files (x86)\HTC\HTC Sync\Mobile Phone Monitor\FsynSrvStarter.exe (TODO: <Company name>)
PRC - C:\Program Files (x86)\HTC\HTC Sync\Mobile Phone Monitor\HTCVBTServer.exe (Teleca AB)
PRC - C:\Program Files (x86)\Common Files\Teleca Shared\logger.exe (Popwire AB)
PRC - C:\Program Files (x86)\Common Files\Teleca Shared\CapabilityManager.exe (Teleca Sweden AB)
PRC - C:\Users\****\AppData\Roaming\Ejnauw\yrkeo.exe ()
PRC - C:\Windows\SysWOW64\mmrtkrnl.exe (AlcaTech)
PRC - C:\Program Files (x86)\Winamp\winampa.exe ()
PRC - C:\Windows\SMINST\BLService.exe ()
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\1f0bb5336d1706c9b8ad2330f3642760\PresentationFramework.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationCore\9b2940478ec555990b37af5448b8f509\PresentationCore.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Core\93a17ba6cb6753328f25466bc0bf1cb1\System.Core.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\WindowsBase\a1949f57d2ec260e09768e98fecb0559\WindowsBase.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Configuration\ddc3e8c2774eaec614d6775983652980\System.Configuration.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\System.ServiceProce#\7d8f6866864f78cf83d3701641c46178\System.ServiceProcess.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runtime.Remo#\07753c0a8ed7f9bc61b0ee718f3c779d\System.Runtime.Remoting.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xaml\40c7a89fe2cbf3c12a2c39e034da54cf\System.Xaml.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xml\fc476bbac36944e352c2f547352ffa64\System.Xml.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\System\f93dca0e4baa1dcb37cf75392b7c89da\System.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\6a1ccc1e1a79ce267d3d1808af382cd6\mscorlib.ni.dll ()
MOD - C:\Program Files (x86)\HTC\HTC Sync\Mobile Phone Monitor\fsync.dll ()
MOD - C:\Program Files (x86)\HTC\HTC Sync\ClientInitiatedStarter\fsync.dll ()
MOD - C:\Program Files (x86)\HTC\HTC Sync\Mobile Phone Monitor\tcpsock_object.dll ()
MOD - C:\Program Files (x86)\Common Files\LightScribe\QtGui4.dll ()
MOD - C:\Program Files (x86)\Common Files\LightScribe\QtCore4.dll ()
MOD - C:\Program Files (x86)\Common Files\LightScribe\plugins\imageformats\qjpeg4.dll ()
MOD - C:\Users\****\AppData\Roaming\Ejnauw\yrkeo.exe ()
MOD - C:\Program Files (x86)\Winamp\winampa.exe ()
MOD - C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\CLCapEngine.dll ()
MOD - C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\CLSchMgr.dll ()
MOD - C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\CLCapSvcps.dll ()
MOD - C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\CLTinyDB.dll ()
MOD - C:\Program Files (x86)\Common Files\Teleca Shared\boost_log-vc80-mt-1_33.dll ()
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (AESTFilters) -- C:\Windows\SysNative\DriverStore\FileRepository\stwrt64.inf_8adfd0a8\AESTSr64.exe (Andrea Electronics Corporation)
SRV:64bit: - (STacSV) -- C:\Windows\SysNative\DriverStore\FileRepository\stwrt64.inf_8adfd0a8\STacSV64.exe (IDT, Inc.)
SRV:64bit: - (hpsrv) -- C:\Windows\SysNative\Hpservice.exe (Hewlett-Packard Corporation)
SRV - (AntiVirWebService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira Operations GmbH & Co. KG)
SRV - (MozillaMaintenance) -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (TeamViewer8) -- C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (SkypeUpdate) -- C:\Program Files (x86)\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (osppsvc) -- C:\Programme\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (Microsoft Corporation)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (Recovery Service for Windows) -- C:\Windows\SMINST\BLService.exe ()
SRV - (ezSharedSvc) -- C:\Windows\SysWOW64\ezsvc7.dll (EasyBits Sofware AS)
SRV - (usnjsvc) -- C:\Program Files (x86)\MSN Messenger\usnsvc.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\DRIVERS\avipbb.sys (Avira Operations GmbH & Co. KG)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\DRIVERS\avgntflt.sys (Avira Operations GmbH & Co. KG)
DRV:64bit: - (avkmgr) -- C:\Windows\SysNative\DRIVERS\avkmgr.sys (Avira Operations GmbH & Co. KG)
DRV:64bit: - (usb_rndisx) -- C:\Windows\SysNative\DRIVERS\usb8023x.sys (Microsoft Corporation)
DRV:64bit: - (ssudmdm) -- C:\Windows\SysNative\DRIVERS\ssudmdm.sys (DEVGURU Co., LTD.(www.devguru.co.kr))
DRV:64bit: - (dg_ssudbus) -- C:\Windows\SysNative\DRIVERS\ssudbus.sys (DEVGURU Co., LTD.(www.devguru.co.kr))
DRV:64bit: - (ssadmdm) -- C:\Windows\SysNative\DRIVERS\ssadmdm.sys (MCCI Corporation)
DRV:64bit: - (ssadbus) -- C:\Windows\SysNative\DRIVERS\ssadbus.sys (MCCI Corporation)
DRV:64bit: - (ssadmdfl) -- C:\Windows\SysNative\DRIVERS\ssadmdfl.sys (MCCI Corporation)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (seehcri) -- C:\Windows\SysNative\DRIVERS\seehcri.sys (Sony Ericsson Mobile Communications)
DRV:64bit: - (ggsemc) -- C:\Windows\SysNative\DRIVERS\ggsemc.sys (Sony Ericsson Mobile Communications)
DRV:64bit: - (ggflt) -- C:\Windows\SysNative\DRIVERS\ggflt.sys (Sony Ericsson Mobile Communications)
DRV:64bit: - (WpdUsb) -- C:\Windows\SysNative\DRIVERS\wpdusb.sys (Microsoft Corporation)
DRV:64bit: - (HTCAND64) -- C:\Windows\SysNative\Drivers\ANDROIDUSB.sys (HTC, Corporation)
DRV:64bit: - (NETw5v64) -- C:\Windows\SysNative\DRIVERS\NETw5v64.sys (Intel Corporation)
DRV:64bit: - (s0017unic) -- C:\Windows\SysNative\DRIVERS\s0017unic.sys (MCCI Corporation)
DRV:64bit: - (s0017obex) -- C:\Windows\SysNative\DRIVERS\s0017obex.sys (MCCI Corporation)
DRV:64bit: - (s0017nd5) -- C:\Windows\SysNative\DRIVERS\s0017nd5.sys (MCCI Corporation)
DRV:64bit: - (s0017mdm) -- C:\Windows\SysNative\DRIVERS\s0017mdm.sys (MCCI Corporation)
DRV:64bit: - (s0017mgmt) -- C:\Windows\SysNative\DRIVERS\s0017mgmt.sys (MCCI Corporation)
DRV:64bit: - (s0017mdfl) -- C:\Windows\SysNative\DRIVERS\s0017mdfl.sys (MCCI Corporation)
DRV:64bit: - (s0017bus) -- C:\Windows\SysNative\DRIVERS\s0017bus.sys (MCCI Corporation)
DRV:64bit: - (SeratoUsb) -- C:\Windows\SysNative\Drivers\SeratoUsb.sys (Cristalink Ltd)
DRV:64bit: - (JMCR) -- C:\Windows\SysNative\DRIVERS\jmcr.sys (JMicron Technology Corporation)
DRV:64bit: - (STHDA) -- C:\Windows\SysNative\DRIVERS\stwrt64.sys (IDT, Inc.)
DRV:64bit: - (NVHDA) -- C:\Windows\SysNative\drivers\nvhda64v.sys (NVIDIA Corporation)
DRV:64bit: - (RTL8169) -- C:\Windows\SysNative\DRIVERS\Rtlh64.sys (Realtek Corporation                                            )
DRV:64bit: - (hpdskflt) -- C:\Windows\SysNative\DRIVERS\hpdskflt.sys (Hewlett-Packard Corporation)
DRV:64bit: - (Accelerometer) -- C:\Windows\SysNative\DRIVERS\Accelerometer.sys (Hewlett-Packard Corporation)
DRV:64bit: - (enecir) -- C:\Windows\SysNative\DRIVERS\enecir.sys (ENE TECHNOLOGY INC.)
DRV:64bit: - (HSF_DPV) -- C:\Windows\SysNative\DRIVERS\VSTDPV6.SYS (Conexant Systems, Inc.)
DRV:64bit: - (winachsf) -- C:\Windows\SysNative\DRIVERS\VSTCNXT6.SYS (Conexant Systems, Inc.)
DRV:64bit: - (HSFHWAZL) -- C:\Windows\SysNative\DRIVERS\VSTAZL6.SYS (Conexant Systems, Inc.)
DRV:64bit: - (sdbus) -- C:\Windows\SysNative\DRIVERS\sdbus.sys (Microsoft Corporation)
DRV:64bit: - (SynTP) -- C:\Windows\SysNative\DRIVERS\SynTP.sys (Synaptics, Inc.)
DRV:64bit: - (s217mdm) -- C:\Windows\SysNative\DRIVERS\s217mdm.sys (MCCI Corporation)
DRV:64bit: - (s217unic) -- C:\Windows\SysNative\DRIVERS\s217unic.sys (MCCI)
DRV:64bit: - (s217obex) -- C:\Windows\SysNative\DRIVERS\s217obex.sys (MCCI Corporation)
DRV:64bit: - (s217nd5) -- C:\Windows\SysNative\DRIVERS\s217nd5.sys (MCCI Corporation)
DRV:64bit: - (s217bus) -- C:\Windows\SysNative\DRIVERS\s217bus.sys (MCCI Corporation)
DRV:64bit: - (s217mdfl) -- C:\Windows\SysNative\DRIVERS\s217mdfl.sys (MCCI Corporation)
DRV:64bit: - (HpqKbFiltr) -- C:\Windows\SysNative\DRIVERS\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV:64bit: - (NVENETFD) -- C:\Windows\SysNative\DRIVERS\nvm60x64.sys (NVIDIA Corporation)
DRV:64bit: - (BCM43XV) -- C:\Windows\SysNative\DRIVERS\bcmwl664.sys (Broadcom Corporation)
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {DDF02204-49F2-4F36-869F-00E875485BD5}
IE:64bit: - HKLM\..\SearchScopes\{67155C91-2696-4DBB-BC56-0EDA1AA38304}: "URL" = hxxp://de.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913933
IE:64bit: - HKLM\..\SearchScopes\{DDF02204-49F2-4F36-869F-00E875485BD5}: "URL" = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1145&query={searchTerms}&invocationType=tb50hpcnnbie7-de-de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
IE - HKLM\..\SearchScopes,DefaultScope = {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{67155C91-2696-4DBB-BC56-0EDA1AA38304}: "URL" = hxxp://de.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913933
IE - HKLM\..\SearchScopes\{DDF02204-49F2-4F36-869F-00E875485BD5}: "URL" = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1145&query={searchTerms}&invocationType=tb50hpcnnbie7-de-de
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10395&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=^ABT&apn_dtid=^YYYYYY^YY^DE&apn_uid=4b096104-db18-491b-a8ab-0d8ba3f0202d&apn_sauid=8F7FC63E-D69B-470A-9C0A-8A92C37889BB
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\..\SearchScopes\{67155C91-2696-4DBB-BC56-0EDA1AA38304}: "URL" = hxxp://de.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913933
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\..\SearchScopes\{DDF02204-49F2-4F36-869F-00E875485BD5}: "URL" = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1145&query={searchTerms}&invocationType=tb50hpcnnbie7-de-de
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0.1
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_169.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_169.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0:  File not found
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.21.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~2\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=13: C:\Program Files (x86)\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll (Google)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files (x86)\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.04.15 15:52:12 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.04.15 15:52:02 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.04.15 15:52:12 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.04.15 15:52:02 | 000,000,000 | ---D | M]
 
[2012.08.11 13:26:58 | 000,000,000 | ---D | M] (No name found) -- C:\Users\****\AppData\Roaming\mozilla\Extensions
[2009.03.28 13:02:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\****\AppData\Roaming\mozilla\Extensions\mozswing@mozswing.org
[2012.12.11 12:42:25 | 000,000,000 | ---D | M] (No name found) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\czqlp7nt.default\extensions
[2012.12.11 12:42:25 | 000,036,098 | ---- | M] () (No name found) -- C:\Users\****\AppData\Roaming\mozilla\firefox\profiles\czqlp7nt.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi
[2013.04.15 15:52:00 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2013.04.15 15:52:12 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.07.14 02:45:08 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.03 11:59:42 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.07.14 02:45:08 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.14 02:45:08 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.14 02:45:08 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.14 02:45:07 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:37:24 | 000,000,761 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2:64bit: - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2:64bit: - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O4:64bit: - HKLM..\Run: [NvCplDaemon] C:\Windows\SysNative\NvCpl.dll (NVIDIA Corporation)
O4:64bit: - HKLM..\Run: [NvMediaCenter] C:\Windows\SysNative\NvMcTray.dll (NVIDIA Corporation)
O4:64bit: - HKLM..\Run: [SysTrayApp] C:\Programme\IDT\WDM\sttray64.exe (IDT, Inc.)
O4:64bit: - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [HP Health Check Scheduler] c:\Program Files (x86)\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe (Hewlett-Packard)
O4 - HKLM..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKLM..\Run: [Mobile Connectivity Suite] C:\Program Files (x86)\HTC\HTC Sync\Application Launcher\Application Launcher.exe (Teleca Sweden AB)
O4 - HKLM..\Run: [Realtime Audio Engine] C:\Windows\SysWow64\mmrtkrnl.exe (AlcaTech)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files (x86)\Winamp\winampa.exe ()
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\SysWow64\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\SysWow64\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (Samsung)
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [{A4EA5199-8259-AD7D-162C-22B32DAF01AE}] C:\Users\****\AppData\Roaming\Ejnauw\yrkeo.exe ()
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [Icruquut] C:\Users\****\AppData\Roaming\Osed\miutx.exe (Mandiant)
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [IExplorer Util] C:\Users\****\AppData\Roaming\ie_util.exe (Mandiant)
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [KiesAirMessage] C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe (Samsung Electronics)
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [KiesPreload] C:\Program Files (x86)\Samsung\Kies\Kies.exe (Samsung)
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found
O8:64bit: - Extra context menu item: Free YouTube Download - C:\Users\****\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm ()
O8:64bit: - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\****\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8:64bit: - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Free YouTube Download - C:\Users\****\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\****\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O9:64bit: - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000020 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O15 - HKU\.DEFAULT\..Trusted Ranges: Range1 ([http] in Local intranet)
O15 - HKU\S-1-5-18\..Trusted Ranges: Range1 ([http] in Local intranet)
O15 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000\..Trusted Ranges: Range1 ([http] in Local intranet)
O16 - DPF: {CAFEEFAC-0014-0002-0007-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_07)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 10.17.2)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{06B76264-19C2-4E81-ADCA-CA6D095F3560}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{46481EB7-455A-4DF6-B135-C6ECC977014B}: DhcpNameServer = 192.168.42.129
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\ms-itss - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18:64bit: - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\****\AppData\Roaming\Mozilla\Firefox\Desktop Hintergrund.bmp
O24 - Desktop BackupWallPaper: C:\Users\****\AppData\Roaming\Mozilla\Firefox\Desktop Hintergrund.bmp
O28:64bit: - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~2\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{411fc122-d519-11de-8ad2-001eeceb5bbb}\Shell - "" = AutoRun
O33 - MountPoints2\{411fc122-d519-11de-8ad2-001eeceb5bbb}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -a
O33 - MountPoints2\{c5f40f4d-a2f5-11e0-b347-001eeceb5bbb}\Shell - "" = AutoRun
O33 - MountPoints2\{c5f40f4d-a2f5-11e0-b347-001eeceb5bbb}\Shell\AutoRun\command - "" = G:\setup.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.05.15 17:46:34 | 000,061,952 | ---- | C] (Mandiant) -- C:\Users\****\AppData\Roaming\ie_util.exe
[2013.05.15 12:02:16 | 000,047,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cdd.dll
[2013.05.15 12:02:05 | 000,485,376 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\html.iec
[2013.05.15 12:02:04 | 000,762,368 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2013.05.15 12:02:04 | 000,623,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll
[2013.05.15 12:02:04 | 000,389,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\html.iec
[2013.05.15 12:02:04 | 000,249,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iepeers.dll
[2013.05.15 12:02:04 | 000,224,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2013.05.15 12:02:03 | 000,479,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2013.05.15 12:02:03 | 000,193,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iepeers.dll
[2013.05.15 12:02:03 | 000,180,736 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2013.05.15 12:02:03 | 000,108,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll
[2013.05.15 12:02:03 | 000,106,496 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll
[2013.05.15 12:02:02 | 000,422,400 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dll
[2013.05.15 12:02:02 | 000,380,928 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dll
[2013.05.14 13:16:11 | 000,000,000 | ---D | C] -- C:\Users\****\Desktop\Virus entfernen
[2013.05.12 17:26:39 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\javaw.exe
[2013.05.12 17:26:39 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\java.exe
[2013.05.12 17:26:39 | 000,095,648 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\WindowsAccessBridge-32.dll
[2013.05.11 20:21:13 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Roaming\Ykla
[2013.05.11 20:21:13 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Roaming\Osed
[2013.05.11 20:21:13 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Roaming\Fisii
[2009.01.02 00:07:06 | 003,063,561 | ---- | C] (Macromedia, Inc.) -- C:\ProgramData\MobileTV.exe
[2009.01.02 00:07:06 | 002,989,660 | ---- | C] (Macromedia, Inc.) -- C:\ProgramData\DVD.exe
[2009.01.02 00:07:06 | 002,864,396 | ---- | C] (Macromedia, Inc.) -- C:\ProgramData\MPV.exe
[2009.01.02 00:07:05 | 002,331,174 | ---- | C] (Macromedia, Inc.) -- C:\ProgramData\Karaoke.exe
[2009.01.02 00:07:05 | 002,231,606 | ---- | C] (Macromedia, Inc.) -- C:\ProgramData\Games.exe
 
========== Files - Modified Within 30 Days ==========
 
[2013.05.16 09:08:02 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.05.16 09:05:19 | 000,674,972 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.05.16 09:05:19 | 000,635,056 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.05.16 09:05:19 | 000,145,608 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.05.16 09:05:19 | 000,119,622 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.05.16 09:05:18 | 001,567,888 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.05.16 09:04:23 | 000,124,987 | ---- | M] () -- C:\ProgramData\nvModes.001
[2013.05.16 09:02:55 | 000,124,987 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2013.05.16 09:02:49 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.05.16 08:58:29 | 000,407,752 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2013.05.16 08:58:27 | 000,003,216 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013.05.16 08:58:26 | 000,003,216 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013.05.16 08:58:16 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.05.16 08:56:15 | 4292,825,088 | -HS- | M] () -- C:\hiberfil.sys
[2013.05.15 18:17:07 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2013.05.15 17:46:34 | 000,061,952 | ---- | M] (Mandiant) -- C:\Users\****\AppData\Roaming\ie_util.exe
[2013.05.15 13:58:00 | 000,001,064 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2013.05.15 11:02:10 | 000,000,418 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{D9BD3B63-258D-4029-8051-1C9FD707F236}.job
[2013.05.13 11:32:10 | 000,445,545 | ---- | M] () -- C:\Users\****\Desktop\Deise Skifahren.jpg
 
========== Files Created - No Company Name ==========
 
[2013.05.13 11:32:10 | 000,445,545 | ---- | C] () -- C:\Users\****\Desktop\Deise Skifahren.jpg
[2012.10.10 18:06:35 | 000,000,200 | ---- | C] () -- C:\Users\****\AppData\Roaming\default.rss
[2012.09.26 21:57:16 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe
[2012.09.26 21:57:14 | 000,974,848 | ---- | C] () -- C:\Windows\SysWow64\cis-2.4.dll
[2012.09.26 21:57:14 | 000,081,920 | ---- | C] () -- C:\Windows\SysWow64\issacapi_bs-2.3.dll
[2012.09.26 21:57:14 | 000,065,536 | ---- | C] () -- C:\Windows\SysWow64\issacapi_pe-2.3.dll
[2012.09.26 21:57:14 | 000,057,344 | ---- | C] () -- C:\Windows\SysWow64\issacapi_se-2.3.dll
[2012.05.21 17:12:51 | 000,004,096 | -H-- | C] () -- C:\Users\****\AppData\Local\keyfile3.drm
[2012.03.29 17:03:30 | 000,075,264 | ---- | C] () -- C:\Windows\SysWow64\callrproxy.dll
[2012.03.29 17:03:30 | 000,060,416 | ---- | C] () -- C:\Windows\SysWow64\OPCENUM.EXE
[2011.09.11 10:37:10 | 000,003,877 | ---- | C] () -- C:\Users\****\.ganttproject
[2011.05.18 10:12:23 | 000,001,471 | ---- | C] () -- C:\Users\****\AppData\Local\RecConfig.xml
[2009.01.04 14:33:38 | 000,026,624 | ---- | C] () -- C:\Users\****\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.12.31 18:22:28 | 000,000,032 | ---- | C] () -- C:\ProgramData\ezsid.dat
[2008.12.31 17:20:42 | 000,007,592 | ---- | C] () -- C:\Users\****\AppData\Local\d3d9caps.dat
[2008.11.04 18:23:25 | 000,000,255 | ---- | C] () -- C:\ProgramData\hpqp.ini
[2008.11.04 18:13:43 | 000,124,987 | ---- | C] () -- C:\ProgramData\nvModes.001
[2008.11.04 18:13:39 | 000,124,987 | ---- | C] () -- C:\ProgramData\nvModes.dat
 
========== ZeroAccess Check ==========
 
[2006.11.02 17:30:40 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.08 19:59:03 | 012,899,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 19:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.04.11 09:11:14 | 000,891,392 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 08:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2008.01.21 04:50:58 | 000,513,024 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2012.11.30 13:03:54 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Audacity
[2010.06.06 19:46:14 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Azureus
[2009.02.12 12:25:26 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\DeepBurner
[2012.11.28 11:09:37 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\DVDVideoSoft
[2012.08.14 00:04:56 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\DVDVideoSoftIEHelpers
[2009.01.01 22:18:56 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Ejnauw
[2013.05.16 09:34:57 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Fisii
[2011.02.23 13:05:25 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\GetRightToGo
[2009.09.16 18:55:43 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\GHISLER
[2009.03.28 13:10:38 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\LimeWire
[2012.06.19 21:09:40 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\NCH Swift Sound
[2010.05.05 17:36:20 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\OpenOffice.org
[2013.05.11 20:21:13 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Osed
[2012.12.01 14:00:43 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Samsung
[2009.07.12 14:53:54 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\SharePod
[2013.03.01 17:32:37 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\TeamViewer
[2010.12.24 16:22:49 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Teleca
[2013.05.11 20:21:13 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Ykla
[2012.12.26 12:01:15 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\YourFileDownloader
 
========== Purity Check ==========
 
 

< End of report >
         
Code:
ATTFilter
OTL Extras logfile created on: 16.05.2013 09:40:23 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\****\Desktop\Virus entfernen
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,17 Gb Available Physical Memory | 54,30% Memory free
8,20 Gb Paging File | 6,20 Gb Available in Paging File | 75,53% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 222,96 Gb Total Space | 107,29 Gb Free Space | 48,12% Space Free | Partition Type: NTFS
Drive D: | 232,88 Gb Total Space | 232,78 Gb Free Space | 99,96% Space Free | Partition Type: NTFS
Drive E: | 9,92 Gb Total Space | 1,74 Gb Free Space | 17,54% Space Free | Partition Type: NTFS
 
Computer Name: ****-PC | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-4045686080-1335382388-2154926036-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
InternetShortcut [print] -- rundll32.exe C:\Windows\system32\mshtml.dll,PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"UacDisableNotify" = 0
"InternetSettingsDisableNotify" = 0
"AutoUpdateDisableNotify" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = 9F 9E 16 8C DC 5B C8 01  [binary data]
"VistaSp2" = 56 5E 19 B8 5A 51 CA 01  [binary data]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"oobe_av" = 1
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0FC0DDE8-D937-4C00-87C9-25B6591CE04E}" = lport=138 | protocol=17 | dir=in | app=system | 
"{11EE8ED4-73BA-4847-A694-1F5B30D79C01}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{1502BBF1-C26E-482E-B205-4E06471B7EC6}" = rport=137 | protocol=17 | dir=out | app=system | 
"{151E545B-9F1E-452A-92B0-6AABD0317ACE}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{1A1965BD-49CC-4425-A5F8-BE7AC41999A6}" = lport=445 | protocol=6 | dir=in | app=system | 
"{2119A3D2-B44A-459B-A7D4-939E7FD75F83}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{22385F98-FF21-423E-AB5C-3FF65845FE8F}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{22B6DB98-5B85-433F-B480-85AA40BB60AF}" = rport=138 | protocol=17 | dir=out | app=system | 
"{27E3EA7A-51E1-4F64-9212-1A0AE2AC3CAC}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{3B91D6D4-7034-4C7D-84F5-572CC1FBC97A}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{3EA54001-36DA-4F7E-802D-CEC72406A34E}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{4C43650C-E72B-4BF7-9C4D-A6A9B387C129}" = rport=445 | protocol=6 | dir=out | app=system | 
"{56013D8D-0295-41D4-98B9-3B40FE7BBE5D}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{6190A37E-24F1-4ADB-BF48-A72A8202A378}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{65347131-4260-420C-AF41-C9AE8C5D727F}" = lport=139 | protocol=6 | dir=in | app=system | 
"{730A25E8-C3B9-4DA1-A94C-A3D8E14F206F}" = rport=139 | protocol=6 | dir=out | app=system | 
"{7724BA06-61CF-4834-AE47-40418C9546F5}" = lport=137 | protocol=17 | dir=in | app=system | 
"{7D8FCD0C-571F-4B48-827C-AD948C350D54}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe | 
"{7E598C09-F107-484C-BCD7-704294AACD93}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\outlook.exe | 
"{9E7178E8-A40F-44A2-A3B0-8BC227A39394}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{B71DD9DD-B321-46D7-82CA-ADA53E888E68}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{CD4901D0-1E1C-4DB4-A2A8-4C4DC817F6E7}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{D04CA750-760B-4457-93B9-A95E3BAADEBC}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{D50C7AC8-47CD-44D1-A222-1838309AA41D}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{E7791A49-0660-4629-8D75-4166EE84B5F8}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{ED189B7B-A6D6-4A0D-9959-8B9F26004B22}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{EDFF5577-3AFF-450F-BCB4-EC93DE4ADA9C}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{F2BD84B2-6701-4B57-AB15-75E40D48C7A8}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{F5F7B864-34D3-4F8F-B510-F1A2539C888C}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{FB81502B-783E-4D3F-93C5-3FD89FD97CC7}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{050BC0D1-4EBC-4651-AE89-608414921274}" = protocol=17 | dir=in | app=c:\program files (x86)\sony ericsson\update service\update service.exe | 
"{053316F6-C613-4421-B3A6-6A14BCC09FC6}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{07DFDBA9-393C-4CC9-8544-DF3A2C1D3E51}" = protocol=17 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer.exe | 
"{09F88407-224C-47DF-8E17-52447D71AE78}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{0AB96B29-72D1-4BAF-AD5F-2D3167191CD6}" = protocol=17 | dir=in | app=c:\program files (x86)\yourfiledownloader\yourfile.exe | 
"{0FCD0CB7-43C5-43C3-85FA-B6DB1627033B}" = protocol=6 | dir=in | app=c:\program files (x86)\common files\aol\loader\aolload.exe | 
"{14D9A01C-1D15-4850-9213-30F8A6D85567}" = dir=in | app=c:\program files (x86)\hp\quickplay\qp.exe | 
"{18672603-CEA1-4007-B556-C7EE2161F57B}" = dir=in | app=c:\program files (x86)\msn messenger\livecall.exe | 
"{186B0CF6-C7A0-41EC-A2D8-8D883F2AA001}" = protocol=6 | dir=in | app=c:\program files (x86)\yourfiledownloader\yourfile.exe | 
"{1A5EF50E-675A-4E7E-9D9C-4A841C8A28B2}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{1AAB356E-2909-4F6C-B62A-BCB7F0E33627}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"{214960B1-2785-4DA7-B25B-A0F151850B4B}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{25A9FA34-6407-4EF5-81D0-4FC82421C748}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{2A39D60F-F3EF-4D1B-8659-3333A162F364}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe | 
"{35EA37B8-6D2F-4C0E-A511-928F120ECE81}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{3E7CDFA5-DE07-4D70-A354-0E450A14AE26}" = protocol=6 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbir.exe | 
"{4C190385-F6EE-445D-BF83-FF401AD0862E}" = protocol=6 | dir=in | app=c:\program files (x86)\winamp remote\bin\orb.exe | 
"{4D0E05C6-C11C-4497-80D9-D04C48A87C89}" = protocol=6 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer_service.exe | 
"{4F5933D9-6594-45B5-958C-0B8ECE929F93}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{50FDE193-45A5-43C6-8B98-DC9890661799}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{517CB3DB-C4D5-4B3A-BFBA-017883C3CB85}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{55B081C7-348A-411A-B711-21EA804F1AB2}" = protocol=17 | dir=in | app=c:\program files (x86)\winamp remote\bin\orb.exe | 
"{56CE0D03-CA11-4336-BA3E-58C88D885FF4}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{570587F7-ABB4-45A2-A257-ADB16B83BB13}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe | 
"{5AC0DB01-B6AD-4559-A99F-28D7673E8BB8}" = protocol=6 | dir=out | app=system | 
"{5B240038-836E-4C30-B961-1E15E24E0CF8}" = protocol=6 | dir=in | app=c:\program files (x86)\sony ericsson\update service\update service.exe | 
"{5D83A139-15CF-4A4E-AE58-CC3714822120}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{6FE0A843-C43C-4D45-BD6F-89631E8A3DC2}" = protocol=6 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer.exe | 
"{7623D488-E217-44D1-9F64-526F3F096901}" = dir=in | app=c:\program files (x86)\cyberlink\powerdirector\pdr.exe | 
"{7E128C6A-6679-498A-9F77-BC93BACEFE50}" = protocol=6 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbstreamerclient.exe | 
"{86E6BBC5-D8B7-4BBF-90AF-DF4D6154881D}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{87FDF4D2-6888-47FF-900B-0241D61858D6}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe | 
"{89085D76-BB1C-45F1-AED7-DAA233813273}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{903E340F-0258-41A1-B864-099EBE27087F}" = protocol=6 | dir=in | app=c:\windows\syswow64\muzapp.exe | 
"{9185F39D-B196-4347-8D67-E94BEF443B33}" = protocol=17 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer_service.exe | 
"{A441220C-4A81-4339-AA28-3E8C5F8186C7}" = protocol=17 | dir=in | app=c:\program files (x86)\yourfiledownloader\downloader.exe | 
"{A7B27FAD-CE20-44AE-A43E-67CC156E79EB}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe | 
"{A811EA6B-1C85-4C4D-B501-2FAD90EC1FBF}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe | 
"{AAA431AB-24B0-4C0F-9F5F-145F6625ED02}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{AC393025-239C-4712-A071-908F1EC474FA}" = protocol=17 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbstreamerclient.exe | 
"{B1130975-651B-4F51-9DAB-F5A55C762BC1}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{B7391A7D-55E4-4D0D-AF2E-6E3754B3E053}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{B80056F1-60D9-4403-A0A5-B3D9BF3E4A3F}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{BCD6B2E6-F7F1-45B4-80C5-20B6F9FE2069}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe | 
"{C0539A82-7328-4223-A82E-41123137D0D6}" = dir=in | app=c:\program files (x86)\msn messenger\msnmsgr.exe | 
"{C074178F-B3AD-45B2-8C16-57F887D07C40}" = protocol=6 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbtray.exe | 
"{C5D786CF-47D7-4323-847B-C1F0616B6E49}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{CCAD1D2E-D29B-4150-97FC-E430EA6FAB38}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{D1CC3952-76F2-4C61-BA92-566FF715DEE9}" = protocol=6 | dir=in | app=c:\program files (x86)\yourfiledownloader\downloader.exe | 
"{D3980A07-72F5-461C-AA1F-047319CAAF6F}" = protocol=17 | dir=in | app=c:\windows\syswow64\muzapp.exe | 
"{D7CF70FB-3122-4748-974C-9848288934EC}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{D84D1EA5-9997-45DB-B727-700460EBB77B}" = dir=in | app=c:\program files (x86)\hp\quickplay\qpservice.exe | 
"{D89F4855-663C-46D9-8F5F-0A3FBCC1335C}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\groove.exe | 
"{DF554A40-2016-42FD-8796-DA12DEDB3A1D}" = protocol=17 | dir=in | app=c:\program files (x86)\common files\aol\loader\aolload.exe | 
"{E59167AE-63FF-4036-AFB0-D0F943A7CF24}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{ED5E1AFC-8E47-48A1-B346-7D63DB0944F7}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office12\groove.exe | 
"{F23DAC9F-66B9-43D1-87EB-2494DA287D4A}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{F66E1351-60C5-4AE8-A03F-252EE587CF12}" = protocol=17 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbir.exe | 
"{FE5BAF15-1C5E-4783-B889-0A26349DA052}" = protocol=17 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbtray.exe | 
"TCP Query User{1A3B2CDE-C7EE-4945-A0AF-51A313F4B785}C:\program files (x86)\vuze\azureus.exe" = protocol=6 | dir=in | app=c:\program files (x86)\vuze\azureus.exe | 
"TCP Query User{2455D923-DD89-4F12-A881-BC9DCCF1EE06}C:\windows\syswow64\gateway.exe" = protocol=6 | dir=in | app=c:\windows\syswow64\gateway.exe | 
"TCP Query User{33053D65-E17A-43C1-B753-629BBAD26034}C:\program files (x86)\emule\emule.exe" = protocol=6 | dir=in | app=c:\program files (x86)\emule\emule.exe | 
"TCP Query User{603ED136-A3C8-43D5-99F1-3A5E3A8DD525}C:\users\****\appdata\roaming\ejnauw\yrkeo.exe" = protocol=6 | dir=in | app=c:\users\****\appdata\roaming\ejnauw\yrkeo.exe | 
"TCP Query User{80BD4FC0-4E8F-4817-9A2E-62244F53DD7E}C:\program files (x86)\azureus\azureus.exe" = protocol=6 | dir=in | app=c:\program files (x86)\azureus\azureus.exe | 
"TCP Query User{8CE79368-9DE3-4728-AB21-52EB1AC75D5F}C:\program files (x86)\emule\emule.exe" = protocol=6 | dir=in | app=c:\program files (x86)\emule\emule.exe | 
"TCP Query User{B487D113-E7AF-4B43-B5AD-ED9A5447D61B}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"TCP Query User{B67A3D0B-3313-4B91-9A04-5525AC034090}C:\program files (x86)\tvuplayer\tvuplayer.exe" = protocol=6 | dir=in | app=c:\program files (x86)\tvuplayer\tvuplayer.exe | 
"TCP Query User{E198EF2A-3909-4E5F-AB30-5EC20EB1A4FE}C:\program files (x86)\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"TCP Query User{EA4C20CD-73BE-4AB3-AD98-DE46276E180D}C:\users\****\appdata\roaming\ejnauw\yrkeo.exe" = protocol=6 | dir=in | app=c:\users\****\appdata\roaming\ejnauw\yrkeo.exe | 
"TCP Query User{F32B1FB7-54E1-4141-BB90-D749EDADB1FC}C:\users\****\downloads\sardu_2.0.4.3\sardu.exe" = protocol=6 | dir=in | app=c:\users\****\downloads\sardu_2.0.4.3\sardu.exe | 
"TCP Query User{F81FC870-28DD-4182-92DC-654D96929D15}C:\program files (x86)\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"TCP Query User{FCA38332-124E-49FD-A166-4F88743E4B81}C:\program files (x86)\limewire\limewire.exe" = protocol=6 | dir=in | app=c:\program files (x86)\limewire\limewire.exe | 
"UDP Query User{26CEA508-FC8D-4904-BE22-28937B698CEB}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"UDP Query User{31AF3EF0-C59B-4F9F-A500-6AB42E910C9E}C:\program files (x86)\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"UDP Query User{3224A44E-32DD-41DB-94F1-92EAD1D63413}C:\windows\syswow64\gateway.exe" = protocol=17 | dir=in | app=c:\windows\syswow64\gateway.exe | 
"UDP Query User{91189027-25CE-470E-80DD-B9F9611EF6DC}C:\users\****\appdata\roaming\ejnauw\yrkeo.exe" = protocol=17 | dir=in | app=c:\users\****\appdata\roaming\ejnauw\yrkeo.exe | 
"UDP Query User{A0402B83-1314-4D77-90AA-CC7F4E9113CF}C:\program files (x86)\azureus\azureus.exe" = protocol=17 | dir=in | app=c:\program files (x86)\azureus\azureus.exe | 
"UDP Query User{AAEE0566-AFBA-42F9-90EF-572F8747D45F}C:\program files (x86)\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"UDP Query User{AB809707-DBED-4E13-9AB1-AD138908A1D8}C:\program files (x86)\limewire\limewire.exe" = protocol=17 | dir=in | app=c:\program files (x86)\limewire\limewire.exe | 
"UDP Query User{B56A4738-A184-4053-832B-A969A22ACAD3}C:\program files (x86)\emule\emule.exe" = protocol=17 | dir=in | app=c:\program files (x86)\emule\emule.exe | 
"UDP Query User{C1CE6E8C-EF5B-4E69-A57F-A8403C310BCE}C:\program files (x86)\vuze\azureus.exe" = protocol=17 | dir=in | app=c:\program files (x86)\vuze\azureus.exe | 
"UDP Query User{CE2E31D0-E321-4D13-B167-9679726F7F8E}C:\users\****\downloads\sardu_2.0.4.3\sardu.exe" = protocol=17 | dir=in | app=c:\users\****\downloads\sardu_2.0.4.3\sardu.exe | 
"UDP Query User{D8C82BE6-B575-42CB-AB5C-D9FF74A34087}C:\users\****\appdata\roaming\ejnauw\yrkeo.exe" = protocol=17 | dir=in | app=c:\users\****\appdata\roaming\ejnauw\yrkeo.exe | 
"UDP Query User{E1199B18-893F-42BE-A557-7CF8E612CFBE}C:\program files (x86)\emule\emule.exe" = protocol=17 | dir=in | app=c:\program files (x86)\emule\emule.exe | 
"UDP Query User{FE4298AE-0BD9-41DE-9E86-2ADC6E50FAB7}C:\program files (x86)\tvuplayer\tvuplayer.exe" = protocol=17 | dir=in | app=c:\program files (x86)\tvuplayer\tvuplayer.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{191C1158-D287-4074-B749-D4CDD321E062}" = ProtectSmart Hard Drive Protection
"{1AD2F8FE-A357-4728-BDF8-B92D794CE793}" = HP QuickTouch 1.00 D2
"{350AA351-21FA-3270-8B7A-835434E766AD}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.21022
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{8E34682C-8118-31F1-BC4C-98CD9675E1C2}" = Microsoft .NET Framework 4 Extended
"{90140000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2010
"{90140000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2010
"{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"NVIDIA Drivers" = NVIDIA Drivers
"SynTPDeinstKey" = Synaptics Pointing Device Driver
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{02627EE5-EACA-4742-A9CC-E687631773E4}" = Nero ShowTime
"{07976ABB-1EBD-4A65-A7C7-155A0DC17173}" = CoDeSys for Automation Alliance
"{082702D5-5DD8-4600-BCE5-48B15174687F}" = HP Doc Viewer
"{0A5E79C4-00C8-45F5-AA3F-5F1F1618D34A}" = uVision2
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1C00C7C5-E615-4139-B817-7F4003DE68C0}" = Nero PhotoSnap Help
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{20400DBD-E6DB-45B8-9B6B-1DD7033818EC}" = Nero InfoTool Help
"{2348B586-C9AE-46CE-936C-A68E9426E214}" = Nero StartSmart Help
"{254C37AA-6B72-4300-84F6-98A82419187E}" = ActiveCheck component for HP Active Support Library
"{26604C7E-A313-4D12-867F-7C6E7820BE4C}" = JMicron JMB38X Flash Media Controller
"{26A24AE4-039D-4CA4-87B4-2F83216018F0}" = Java(TM) 6 Update 18
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 21
"{279DB581-239C-4E13-97F8-0F48E40BE75C}" = Windows Live Messenger
"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java(TM) 6 Update 6
"{33CF58F5-48D8-4575-83D6-96F574E4D83A}" = Nero DriveSpeed
"{340F521E-3576-4E1A-B75C-EB0ACF751379}" = HP Wireless Assistant
"{34D2AB40-150D-475D-AE32-BD23FB5EE355}" = HP Quick Launch Buttons 6.40 D1
"{359CFC0A-BEB1-440D-95BA-CF63A86DA34F}" = Nero Recode
"{3877C901-7B90-4727-A639-B6ED2DD59D43}" = ESU for Microsoft Vista
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go
"{43E39830-1826-415D-8BAE-86845787B54B}" = Nero Vision
"{45D707E9-F3C4-11D9-A373-0050BAE317E1}" = HP QuickPlay 3.7
"{468D22C0-8080-11E2-B86E-B8AC6F98CCE3}" = Google Earth
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4D43D635-6FDA-4FA5-AA9B-23CF73D058EA}" = Nero StartSmart OEM
"{4DB09036-A19C-42F9-B346-3A61C9D6FCD1}" = Scratch Live 2.3.1 (23103)
"{51E5C397-0AA0-48DD-9CB6-7259AFFDFB0A}" = HP Easy Setup - Frontend
"{55bcf3c8-1941-4822-b32c-c75b65b7fb13}" = Nero 9 Essentials
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{595A3116-40BB-4E0F-A2E8-D7951DA56270}" = NeroExpress
"{5D9BE3C1-8BA4-4E7E-82FD-9F74FA6815D1}" = Nero Vision Help
"{60C731FB-C951-41CE-AD41-8E54C8594609}" = Nero Disc Copy Gadget Help
"{62AC81F6-BDD3-4110-9D36-3E9EAAB40999}" = Nero CoverDesigner
"{669D4A35-146B-4314-89F1-1AC3D7B88367}" = HPAsset component for HP Active Support Library
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6D6664A9-3342-4948-9B7E-034EFE366F0F}" = HTC Driver Installer
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7148F0A8-6813-11D6-A77B-00B0D0142070}" = Java 2 Runtime Environment, SE v1.4.2_07
"{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}" = Avanquest update
"{7748AC8C-18E3-43BB-959B-088FAEA16FB2}" = Nero StartSmart
"{7829DB6F-A066-4E40-8912-CB07887C20BB}" = Nero BurnRights
"{83202942-84B3-4C50-8622-B8C0AA2D2885}" = Nero Express Help
"{869200DB-287A-4DC0-B02B-2B6787FBCD4C}" = Nero DiscSpeed
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 8168 8101E 8102E Ethernet Driver
"{8913B564-C9ED-11D5-96F1-002018B8AA01}" = WinFACT 6
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUSR_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUSR_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUSR_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0000-1000-0000000FF1CE}_Office14.PROPLUSR_{967EF02C-5C7E-4718-8FCB-BDC050190CCF}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0407-1000-0000000FF1CE}_Office14.PROPLUSR_{594128C9-2CDF-43CE-8103-DC100CF013B6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{91140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{98B8052E-1E55-41D4-9A03-E2F718825D38}" = HTC Sync
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9E2CCD5E-1990-4EF2-9B61-32F0BBACC29B}" = HP Active Support Library
"{9E82B934-9A25-445B-B8DF-8012808074AC}" = Nero PhotoSnap
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Deutsch
"{AC76BA86-7AD7-5464-3428-800000000003}" = Spelling Dictionaries Support For Adobe Reader 8
"{AD6BC5CC-2EF0-49C4-B33D-CDC8B2C4DC80}" = Nero Recode Help
"{B16DA0F8-26BC-4FFC-9363-1D9F3E6C3E21}" = HP Customer Experience Enhancements
"{B1ADF008-E898-4FE2-8A1F-690D9A06ACAF}" = DolbyFiles
"{B2EC4A38-B545-4A00-8214-13FE0E915E6D}" = Advertising Center
"{B8169E45-8E23-430B-91D1-EC64540C8ED0}" = HP User Guides 0103
"{BD5CA0DA-71AD-43DA-B19E-6EEE0C9ADC9A}" = Nero ControlCenter
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = LabelPrint
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{C81A2FE0-3574-00A9-CED4-BDAA334CBE8E}" = Nero Online Upgrade
"{C8FD5BC1-92EF-4C15-92A9-F9AC7F61985F}" = HP Update
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CC019E3F-59D2-4486-8D4B-878105B62A71}" = Nero DiscSpeed Help
"{CC8E94A2-55C7-4460-953C-2A790180578C}" = LightScribe System Software
"{CE96F5A5-584D-4F8F-AA3E-9BAED413DB72}" = Nero CoverDesigner Help
"{D9DCF92E-72EB-412D-AC71-3B01276E5F8B}" = Nero ShowTime
"{E333CA5F-00ED-4EEF-90E5-6A33A8FE969F}" = HP Help and Support
"{E3A5A8AB-58F6-45FF-AFCB-C9AE18C05001}" = IDT Audio
"{E503B4BF-F7BB-3D5F-8BC8-F694B1CFF942}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218
"{E5C7D048-F9B4-4219-B323-8BDB01A2563D}" = Nero DriveSpeed Help
"{E8A80433-302B-4FF1-815D-FCC8EAC482FF}" = Nero Installer
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F1861F30-3419-44DB-B2A1-C274825698B3}" = Nero Disc Copy Gadget
"{f32502b5-5b64-4882-bf61-77f23edcac4f}" = HP Total Care Advisor
"{F4041DCE-3FE1-4E18-8A9E-9DE65231EE36}" = Nero ControlCenter
"{F6BDD7C5-89ED-4569-9318-469AA9732572}" = Nero BurnRights Help
"{FBCDFD61-7DCF-4E71-9226-873BA0053139}" = Nero InfoTool
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.6 (Unicode)
"Avira AntiVir Desktop" = Avira Free Antivirus
"B991B020-2968-11D8-AF23-444553540000_is1" = FreeMind
"Casino Club Poker" = Casino Club Poker
"CCleaner" = CCleaner (remove only)
"FLV Player" = FLV Player 2.0 (build 25)
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free Studio_is1" = Free Studio version 5.7.4.918
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.7
"GanttProject" = GanttProject
"Google Updater" = Google Updater
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"Mozilla Firefox 20.0.1 (x86 de)" = Mozilla Firefox 20.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Office14.PROPLUSR" = Microsoft Office Professional Plus 2010
"SlingMedia.QPSlingPlayer_is1" = QuickPlay SlingPlayer 0.4.6
"TeamViewer 8" = TeamViewer 8
"Totalcmd" = Total Commander (Remove or Repair)
"Uninstall_is1" = Uninstall 1.0.0.1
"Update Service" = Update Service
"ViewpointMediaPlayer" = Viewpoint Media Player
"Virtual DJ - Atomix Productions" = Virtual DJ - Atomix Productions
"WildTangent hp Master Uninstall" = My HP Games
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-4045686080-1335382388-2154926036-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Avira SearchFree Toolbar plus Web Protection Updater
"MyFreeCodec" = MyFreeCodec
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 14.05.2013 05:33:48 | Computer Name = ****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 14.05.2013 05:34:39 | Computer Name = ****-PC | Source = SideBySide | ID = 16842830
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
 (x86)\Nero\Nero 9\Nero PhotoSnap\PhotoSnapViewer.exe.Manifest". Fehler in Manifest-
 oder Richtliniendatei "" in Zeile .  Eine für die Anwendung erforderliche Komponentenversion
 steht in Konflikt mit einer anderen bereits aktiven Komponentenversion.  Die widersprüchlichen
 Komponenten sind:  Komponente 1: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3.manifest.
Komponente
 2: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_1509f852f40ee5cd.manifest.
 
Error - 15.05.2013 02:31:50 | Computer Name = ****-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung Kies.exe, Version 1.0.0.967, Zeitstempel 0x50a0627f,
 fehlerhaftes Modul unknown, Version 0.0.0.0, Zeitstempel 0x00000000, Ausnahmecode
 0xc0000005, Fehleroffset 0x0033556f,  Prozess-ID 0xd28, Anwendungsstartzeit 01ce5135c80e1670.
 
Error - 15.05.2013 02:31:55 | Computer Name = ****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 15.05.2013 02:33:06 | Computer Name = ****-PC | Source = SideBySide | ID = 16842830
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
 (x86)\Nero\Nero 9\Nero PhotoSnap\PhotoSnapViewer.exe.Manifest". Fehler in Manifest-
 oder Richtliniendatei "" in Zeile .  Eine für die Anwendung erforderliche Komponentenversion
 steht in Konflikt mit einer anderen bereits aktiven Komponentenversion.  Die widersprüchlichen
 Komponenten sind:  Komponente 1: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3.manifest.
Komponente
 2: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_1509f852f40ee5cd.manifest.
 
Error - 15.05.2013 07:08:23 | Computer Name = ****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 15.05.2013 07:10:24 | Computer Name = ****-PC | Source = SideBySide | ID = 16842830
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
 (x86)\Nero\Nero 9\Nero PhotoSnap\PhotoSnapViewer.exe.Manifest". Fehler in Manifest-
 oder Richtliniendatei "" in Zeile .  Eine für die Anwendung erforderliche Komponentenversion
 steht in Konflikt mit einer anderen bereits aktiven Komponentenversion.  Die widersprüchlichen
 Komponenten sind:  Komponente 1: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3.manifest.
Komponente
 2: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_1509f852f40ee5cd.manifest.
 
Error - 15.05.2013 07:10:25 | Computer Name = ****-PC | Source = SideBySide | ID = 16842830
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
 (x86)\Nero\Nero 9\Nero PhotoSnap\PhotoSnapViewer.exe.Manifest". Fehler in Manifest-
 oder Richtliniendatei "" in Zeile .  Eine für die Anwendung erforderliche Komponentenversion
 steht in Konflikt mit einer anderen bereits aktiven Komponentenversion.  Die widersprüchlichen
 Komponenten sind:  Komponente 1: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3.manifest.
Komponente
 2: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_1509f852f40ee5cd.manifest.
 
Error - 16.05.2013 02:59:04 | Computer Name = ****-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 16.05.2013 03:04:42 | Computer Name = ****-PC | Source = SideBySide | ID = 16842830
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
 (x86)\Nero\Nero 9\Nero PhotoSnap\PhotoSnapViewer.exe.Manifest". Fehler in Manifest-
 oder Richtliniendatei "" in Zeile .  Eine für die Anwendung erforderliche Komponentenversion
 steht in Konflikt mit einer anderen bereits aktiven Komponentenversion.  Die widersprüchlichen
 Komponenten sind:  Komponente 1: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3.manifest.
Komponente
 2: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_1509f852f40ee5cd.manifest.
 
[ System Events ]
Error - 02.05.2013 10:15:15 | Computer Name = ****-PC | Source = bowser | ID = 8003
Description = 
 
Error - 03.05.2013 03:23:35 | Computer Name = ****-PC | Source = Print | ID = 19
Description = Der Druckspooler konnte den Drucker hp deskjet 5550 series (HPA) nicht
 unter dem Namen hp deskjet 5550 series (HPA) freigeben. Fehler: 2114. Der Drucker
 kann nicht von anderen Benutzern im Netzwerk verwendet werden.
 
Error - 03.05.2013 03:58:59 | Computer Name = ****-PC | Source = bowser | ID = 8003
Description = 
 
Error - 05.05.2013 03:30:08 | Computer Name = ****-PC | Source = Print | ID = 19
Description = Der Druckspooler konnte den Drucker hp deskjet 5550 series (HPA) nicht
 unter dem Namen hp deskjet 5550 series (HPA) freigeben. Fehler: 2114. Der Drucker
 kann nicht von anderen Benutzern im Netzwerk verwendet werden.
 
Error - 06.05.2013 11:10:55 | Computer Name = ****-PC | Source = Print | ID = 19
Description = Der Druckspooler konnte den Drucker hp deskjet 5550 series (HPA) nicht
 unter dem Namen hp deskjet 5550 series (HPA) freigeben. Fehler: 2114. Der Drucker
 kann nicht von anderen Benutzern im Netzwerk verwendet werden.
 
Error - 11.05.2013 14:15:46 | Computer Name = ****-PC | Source = bowser | ID = 8003
Description = 
 
Error - 14.05.2013 05:32:20 | Computer Name = ****-PC | Source = Print | ID = 19
Description = Der Druckspooler konnte den Drucker hp deskjet 5550 series (HPA) nicht
 unter dem Namen hp deskjet 5550 series (HPA) freigeben. Fehler: 2114. Der Drucker
 kann nicht von anderen Benutzern im Netzwerk verwendet werden.
 
Error - 15.05.2013 07:09:43 | Computer Name = ****-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 15.05.2013 07:09:59 | Computer Name = ****-PC | Source = Service Control Manager | ID = 7009
Description = 
 
Error - 15.05.2013 07:09:59 | Computer Name = ****-PC | Source = Service Control Manager | ID = 7000
Description = 
 
 
< End of report >
         
...ich hoffe du kannst mir helfen

Gruß Josy

Alt 16.05.2013, 09:04   #10
t'john
/// Helfer-Team
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!
Code:
ATTFilter
:OTL

MOD - C:\Users\****\AppData\Roaming\Ejnauw\yrkeo.exe () 
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [{A4EA5199-8259-AD7D-162C-22B32DAF01AE}] C:\Users\****\AppData\Roaming\Ejnauw\yrkeo.exe () 
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [Icruquut] C:\Users\****\AppData\Roaming\Osed\miutx.exe (Mandiant) 
O4 - HKU\S-1-5-21-4045686080-1335382388-2154926036-1000..\Run: [IExplorer Util] C:\Users\****\AppData\Roaming\ie_util.exe (Mandiant) 
[2013.05.15 17:46:34 | 000,061,952 | ---- | C] (Mandiant) -- C:\Users\****\AppData\Roaming\ie_util.exe 
[2012.09.26 21:57:16 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\****\*.tmp
C:\Users\****\AppData\*.dll
C:\Users\****\AppData\*.exe
C:\Users\****\AppData\Local\Temp\*.exe
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache
ipconfig /flushdns /c
:Commands
[emptytemp]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.



danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
Mfg, t'john
Das TB unterstützen

Alt 16.05.2013, 09:21   #11
Josy83
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Alles Klar! Danke!

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-4045686080-1335382388-2154926036-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{A4EA5199-8259-AD7D-162C-22B32DAF01AE} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A4EA5199-8259-AD7D-162C-22B32DAF01AE}\ not found.
C:\Users\****\AppData\Roaming\Ejnauw\yrkeo.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-4045686080-1335382388-2154926036-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Icruquut deleted successfully.
C:\Users\****\AppData\Roaming\Osed\miutx.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-4045686080-1335382388-2154926036-1000\Software\Microsoft\Windows\CurrentVersion\Run\\IExplorer Util deleted successfully.
C:\Users\****\AppData\Roaming\ie_util.exe moved successfully.
File C:\Users\****\AppData\Roaming\ie_util.exe not found.
C:\Windows\MusiccityDownload.exe moved successfully.
========== FILES ==========
C:\ProgramData\DVD.exe moved successfully.
C:\ProgramData\Games.exe moved successfully.
C:\ProgramData\Karaoke.exe moved successfully.
C:\ProgramData\MobileTV.exe moved successfully.
C:\ProgramData\MPV.exe moved successfully.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\****\*.tmp not found.
File\Folder C:\Users\****\AppData\*.dll not found.
File\Folder C:\Users\****\AppData\*.exe not found.
C:\Users\****\AppData\Local\Temp\jre-7u21-windows-i586-iftw.exe moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\security folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\****\Desktop\Virus entfernen\cmd.bat deleted successfully.
C:\Users\****\Desktop\Virus entfernen\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ****
->Temp folder emptied: 8590446 bytes
->Temporary Internet Files folder emptied: 15344884 bytes
->FireFox cache emptied: 395491436 bytes
->Flash cache emptied: 1963 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 216477542 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 43907388 bytes
 
Total Files Cleaned = 648,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 05162013_102720

Files\Folders moved on Reboot...
C:\Users\****\AppData\Local\Temp\ehmsas.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         
Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.16.04

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 7.0.6002.18005
Josef :: JOSEF-PC [Administrator]

16.05.2013 10:39:30
mbam-log-2013-05-16 (10-39-30).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 218992
Laufzeit: 5 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Code:
ATTFilter
# AdwCleaner v2.300 - Datei am 16/05/2013 um 10:48:15 erstellt
# Aktualisiert am 28/04/2013 von Xplode
# Betriebssystem : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
# Benutzer : **** - ****-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\****\Desktop\Virus entfernen\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Datei Gelöscht : C:\Users\Public\Desktop\eBay.lnk
Gelöscht mit Neustart : C:\Program Files (x86)\Ask.com
Gelöscht mit Neustart : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Gelöscht mit Neustart : C:\Program Files (x86)\Common Files\Plasmoo
Gelöscht mit Neustart : C:\Program Files (x86)\Viewpoint
Gelöscht mit Neustart : C:\Program Files (x86)\yourfiledownloader
Gelöscht mit Neustart : C:\ProgramData\boost_interprocess
Gelöscht mit Neustart : C:\ProgramData\Viewpoint
Gelöscht mit Neustart : C:\Users\****\AppData\Local\AskToolbar
Gelöscht mit Neustart : C:\Users\****\AppData\LocalLow\AskToolbar
Gelöscht mit Neustart : C:\Users\****\AppData\Roaming\dvdvideosoftiehelpers
Gelöscht mit Neustart : C:\Users\****\AppData\Roaming\yourfiledownloader
Gelöscht mit Neustart : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\YourFileDownloader
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\secman.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\S
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\Software\MetaStream
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Schlüssel Gelöscht : HKLM\Software\Viewpoint
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97D69524-BB57-4185-9C7F-5F05593B771A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F994E0D9-8335-48F1-99C2-A712C21F8D5F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4DC8-84D1-F5D7BAF2DB0C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\Software\YourFileDownloader
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v7.0.6002.18005

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v20.0.1 (de)

Datei : C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\czqlp7nt.default\prefs.js

C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\czqlp7nt.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [8042 octets] - [16/05/2013 10:48:15]

########## EOF - C:\AdwCleaner[S1].txt - [8102 octets] ##########
         
Ich hoffe ich habe alles richtig gemacht?

Bin ich somit befreit von den Trojanern?

Hab jetzt nur dass Problem dass beim Avira gemeldet wird, dass der Browserschutz nicht aktiv is. Kann ihn leider auch nicht aktivieren. Woran kann das noch liegen?

Gruß Josy

Browserschutz funtz wieder!

Aber bin ich jetz frei von Trojanern?

Gruß Josy

Alt 16.05.2013, 13:47   #12
t'john
/// Helfer-Team
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Mfg, t'john
Das TB unterstützen

Alt 16.05.2013, 13:56   #13
Josy83
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Alles klar. Mach ich dann morgen! Schaff ich heute nicht mehr!

Danke!

Alt 16.05.2013, 14:00   #14
t'john
/// Helfer-Team
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



Alles klar.
__________________
Mfg, t'john
Das TB unterstützen

Alt 17.05.2013, 10:35   #15
Josy83
 
Avira hat Trojaner gefunden.  TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Standard

Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!



bin grad am abarbeiten der aswMBR.exe programm hat abgebrochen und habe jetzt 'none' ausgewählt und nochmal gestartet. Richtig so?

Antwort

Themen zu Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!
anderem, avira, bds/prorat.xwi, bitte um hilfe, diverse, diverse trojaner, exp/cve-2010-0840.bb, gefunde, hilfe!, hilfe!!, java/jogek.ckr, leute, löschen, maleware, quarantäne, tr/drop.agent.hlxb, tr/drop.dapato.cdtt, tr/psw.zbot.245760.257, tr/ransom.blocker.bemi, troja, trojaner, trotz, verschieben, win32/spy.zbot.aao



Ähnliche Themen: Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!


  1. Trojan-Ransom.Win32.Blocker.cbsn & Trojan-Spy.Win.32.Zbot.nsur eingefangen -.-
    Plagegeister aller Art und deren Bekämpfung - 12.04.2014 (23)
  2. Wöchentlicher AntiVir-Lauf findet TR/Ransom.Blocker.cafz
    Log-Analyse und Auswertung - 19.08.2013 (4)
  3. TR/Ransom.Blocker.cafz
    Plagegeister aller Art und deren Bekämpfung - 14.08.2013 (3)
  4. TR/Ransom.Blocker mein OTL-Log
    Log-Analyse und Auswertung - 29.07.2013 (15)
  5. TR/Spy.ZBot.mltm / TR/Bublik.I.16 / TR/Ransom.Blocker.blak / TR/Agent.57344.206 / TR/Bublik.I.14
    Plagegeister aller Art und deren Bekämpfung - 01.07.2013 (11)
  6. TR/Ransom.Blocker EXP/Java.HLP.FW TR/Drop.Dapato.cdtt PC infiziert
    Log-Analyse und Auswertung - 29.06.2013 (34)
  7. Diverse hartnäckige Trojaner TR/Ransom.Blocker
    Log-Analyse und Auswertung - 09.06.2013 (17)
  8. XP System infiziert! TR/Ransom.Blocker.bgtk/.bgjy-EXP/Pidief.eho-EXP/CVE-2013-1493.A.87
    Plagegeister aller Art und deren Bekämpfung - 31.05.2013 (13)
  9. Avira hat mehrere Trojaner gefunden, zb. 'TR/Ransom.Blocker.bgjy'
    Log-Analyse und Auswertung - 29.05.2013 (7)
  10. Avira hat Trojaner gefunden TR/Ransom.Blocker
    Plagegeister aller Art und deren Bekämpfung - 15.05.2013 (1)
  11. Trojaner eingefangen TR/Ransom.Blocker.bejm & Co.
    Plagegeister aller Art und deren Bekämpfung - 15.05.2013 (9)
  12. Mehrere Trojaner (bublik.I.9 und 10, PWS.Zbot, Ransom.Blocker) von Avira entdeckt!
    Log-Analyse und Auswertung - 12.05.2013 (11)
  13. EXP/Java.HLP.A.1044 und TR/Ransom.Blocker.bajc (BKA Trojaner?)
    Plagegeister aller Art und deren Bekämpfung - 27.04.2013 (15)
  14. Avira findet Trojaner TR/Ransom.Blocker.bboz und TR/PSW.Zbot.274432.6
    Log-Analyse und Auswertung - 24.04.2013 (5)
  15. BKA Trojaner (Mbam findet Trojan.Ransom.ED), bitte um Hilfe bei der Entfernung
    Plagegeister aller Art und deren Bekämpfung - 09.04.2013 (13)
  16. EXP/JAVA.Ternub.Gen mit AVIRA gefunden / Trojan.Ransom.ED mit Malwarebytes
    Plagegeister aller Art und deren Bekämpfung - 30.03.2013 (20)
  17. Mail trojaner eingefangen. decrypt und avira ransom funktionieren nicht
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (1)

Zum Thema Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! - Hallo Leute, beim letzten Systemdurchlauf von Avira wurden diverse Trojaner und Maleware gefunden. Unter anderem 'JAVA/Jogek.ckr' , 'TR/Ransom.Blocker.bemi', 'EXP/CVE-2010-0840.BB' , 'JAVA/Jogek.ckr' . Trotz Verschieben in Quarantäne und löschen kommen sie - Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!...
Archiv
Du betrachtest: Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.