| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hartnäckige InfektionWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.06.2013, 12:04
| #1 | |
 |  Hartnäckige Infektion Hallo liebe Helfer und IT-Spezialisten! Ich habe seit gestern folgendes Problem: da ich oft nachts an meinem Heim-PC arbeite und dieser dann auch mal über Nacht an bleibt, wie auch von gestern auf heute, ist mir nun heutemorgen aufgefallen, dass ziemlich seltsame Sachen auf meinem System vorgehen. Ich hatte lediglich mehrere Textdokumente geöffnet, keine Anwendungen etc. Und als ich nun morgens auf meinen Bildschirm schaute, bemerkte ich, dass Skype (selbst) installiert wurde, ich bei Skype angemeldet war (Ich habe einen Skype-Account, jedoch das automatische Starten von Skype schon mehrere Jahre deaktiviert)! Zudem wollte sich eine Microsoft Office 2007 Anwendung installieren, der Installer startete automatisch und der PC fror fast ein. Ich war erstmal ziemlich verwirrt  Nach einem Neustart sah ich, was mein PC machte; Er war ziemlich langsam bei sehr hoher CPU-Auslastung, wobei mir aufgefallen war, dass ein svchost.exe Prozess ziemlich viel Speicher benötigte. Die ominöse Office 2007 Anwendung wollte sich aufs Neue installieren, was ich aber sofort unterbunden habe. Die Logfiles von MBytes, OTL und GMER haben mich auf diese beiden Dateien gebracht, welche (zmdst. ich) äußerst fragwürdig finde, vielleicht täusche ich mich auch, ihr seid die Profis: Zitat:
Nun gut, ich habe meinen PC vom Netz getrennt und erstmal mit F-Secure einen vollständigen Suchlauf durchgeführt, wobei mich der Eintrag C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\b1114b1-6a7696b3 stutzig machte, da F-Secure einen Trojan.Generic.9058672 fand und diesen in die Quarantände verschob. Auch Malwarebytes fand diesen Eintrag und erkannte einen Trojaner. Bevor ich hier nun weiter schreibe und der Text allzu lang wird, poste ich die Logfiles von Malwarebytes, Gmer und OTL. GMER: Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-06-25 12:07:16
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e ST3160023AS rev.3.00 149,05GB
Running: gmer_2.1.19163.exe; Driver: C:\DOKUME~1\*****\LOKALE~1\Temp\ufldipob.sys
---- System - GMER 2.1 ----
SSDT sptd.sys ZwCreateKey [0xF7399DC0]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateProcess [0xA9ACDCC6]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateProcessEx [0xA9ACDCE0]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateThread [0xA9ACCE7C]
SSDT sptd.sys ZwEnumerateKey [0xF73CDFFE]
SSDT sptd.sys ZwEnumerateValueKey [0xF73CE38C]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwLoadDriver [0xA9ACD1AC]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwMapViewOfSection [0xA9ACCBBC]
SSDT sptd.sys ZwOpenKey [0xF7399DA0]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwOpenSection [0xA9ACD5DE]
SSDT sptd.sys ZwQueryKey [0xF73CE464]
SSDT sptd.sys ZwQueryValueKey [0xF73CE2E4]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwRenameKey [0xA9ACE87C]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSetSystemInformation [0xA9ACD42E]
SSDT sptd.sys ZwSetValueKey [0xF73CE4F6]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSuspendProcess [0xA9ACCA3C]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSuspendThread [0xA9ACCEB0]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSystemDebugControl [0xA9ACD032]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwTerminateProcess [0xA9ACC996]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwTerminateThread [0xA9ACCAF6]
SSDT \??\C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwWriteVirtualMemory [0xA9ACCF76]
INT 0x62 ? 837D1CC8
INT 0x74 ? 83594CC8
INT 0x82 ? 837D1CC8
INT 0x84 ? 83594CC8
INT 0x94 ? 83594CC8
INT 0x94 ? 83594CC8
INT 0x94 ? 83594CC8
INT 0xB4 ? 837D1CC8
Code fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation) IoCreateDevice
---- Kernel code sections - GMER 2.1 ----
.text ntoskrnl.exe!_abnormal_termination + 34C 804E29B8 4 Bytes [7C, E8, AC, A9]
.text ntoskrnl.exe!_abnormal_termination + 440 804E2AAC 12 Bytes [3C, CA, AC, A9, B0, CE, AC, ...]
? cahcwf.sys Das System kann die angegebene Datei nicht finden. !
.text sptd.sys F735F000 32 Bytes [5E, 67, 6F, 80, 20, 17, 6F, ...]
.text sptd.sys F735F024 4 Bytes [74, 1F, 35, F7]
.text sptd.sys F735F02C 424 Bytes [F2, BF, 57, 80, 66, E1, 59, ...]
.text sptd.sys F735F1E4 4 Bytes [BF, 94, D8, 4C]
.text sptd.sys F735F1EC 1 Byte [02]
.text ...
.sptd2 C:\WINDOWS\system32\drivers\sptd.sys entry point in ".sptd2" section [0xF743A5B5]
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F5F8C8AC 5 Bytes JMP 835941D8
.text avncxr10.SYS F5F03306 50 Bytes [00, 00, 00, 42, 03, 00, F0, ...]
.text avncxr10.SYS F5F03339 23 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text avncxr10.SYS F5F03351 87 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text avncxr10.SYS F5F033A9 10 Bytes [00, 00, 00, 00, 00, 00, 00, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL}
.text avncxr10.SYS F5F033B4 12 Bytes [40, 00, 00, C8, 50, 41, 47, ...] {INC EAX; ADD [EAX], AL; ENTER 0x4150, 0x47; INC EBP; ADD [EAX], AL; ADD [EAX], AL}
.text ...
---- User code sections - GMER 2.1 ----
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0038000C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0038100C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0038200C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 0038300C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 0038400C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 0038900C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 0038700C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 0038500C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 0038600C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 0038800C
.text C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\gmer_2.1.19163.exe[204] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 0038A00C
.text C:\Programme\Sicherheitspaket\Common\FSM32.EXE[372] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0093000C
.text C:\Programme\Sicherheitspaket\Common\FSM32.EXE[372] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0093100C
.text C:\WINDOWS\System32\alg.exe[628] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00AE000C
.text C:\WINDOWS\System32\alg.exe[628] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 00AE100C
.text C:\WINDOWS\System32\alg.exe[628] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00AE200C
.text C:\WINDOWS\System32\alg.exe[628] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 00AE300C
.text C:\WINDOWS\System32\alg.exe[628] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00AE400C
.text C:\WINDOWS\System32\alg.exe[628] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 00AEA00C
.text C:\WINDOWS\System32\alg.exe[628] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 00AE700C
.text C:\WINDOWS\System32\alg.exe[628] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 00AE500C
.text C:\WINDOWS\System32\alg.exe[628] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 00AE600C
.text C:\WINDOWS\System32\alg.exe[628] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 00AE800C
.text C:\WINDOWS\System32\alg.exe[628] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 00AE900C
.text C:\WINDOWS\system32\winlogon.exe[692] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00A5000C
.text C:\WINDOWS\system32\winlogon.exe[692] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 00A5100C
.text C:\WINDOWS\system32\winlogon.exe[692] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00A5200C
.text C:\WINDOWS\system32\winlogon.exe[692] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 00A5300C
.text C:\WINDOWS\system32\winlogon.exe[692] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 00A5700C
.text C:\WINDOWS\system32\winlogon.exe[692] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 00A5500C
.text C:\WINDOWS\system32\winlogon.exe[692] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 00A5600C
.text C:\WINDOWS\system32\winlogon.exe[692] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 00A5800C
.text C:\WINDOWS\system32\winlogon.exe[692] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00A5400C
.text C:\WINDOWS\system32\winlogon.exe[692] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 00A5A00C
.text C:\WINDOWS\system32\winlogon.exe[692] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 00A5900C
.text C:\WINDOWS\system32\lsass.exe[748] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00BD000C
.text C:\WINDOWS\system32\lsass.exe[748] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 00BD100C
.text C:\WINDOWS\system32\lsass.exe[748] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00BD200C
.text C:\WINDOWS\system32\lsass.exe[748] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 00BD300C
.text C:\WINDOWS\system32\lsass.exe[748] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 00BD700C
.text C:\WINDOWS\system32\lsass.exe[748] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 00BD500C
.text C:\WINDOWS\system32\lsass.exe[748] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 00BD600C
.text C:\WINDOWS\system32\lsass.exe[748] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 00BD800C
.text C:\WINDOWS\system32\lsass.exe[748] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00BD400C
.text C:\WINDOWS\system32\lsass.exe[748] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 00BDA00C
.text C:\WINDOWS\system32\lsass.exe[748] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 00BD900C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0359000C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0359100C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0359200C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 0359300C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 0359700C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 0359500C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 0359600C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 0359800C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 0359900C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 0359400C
.text C:\Programme\Java\jre7\bin\jqs.exe[1468] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 0359A00C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 01ED000C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 01ED100C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 01ED200C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 01ED300C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 01ED700C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 01ED500C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 01ED600C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 01ED800C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 01ED400C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 01EDA00C
.text C:\WINDOWS\system32\HPZipm12.exe[1856] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 01ED900C
.text C:\WINDOWS\RTHDCPL.EXE[2592] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 01BE000C
.text C:\WINDOWS\RTHDCPL.EXE[2592] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 01BE100C
.text C:\WINDOWS\RTHDCPL.EXE[2592] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 01BE200C
.text C:\WINDOWS\RTHDCPL.EXE[2592] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 01BE300C
.text C:\WINDOWS\RTHDCPL.EXE[2592] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 01BE700C
.text C:\WINDOWS\RTHDCPL.EXE[2592] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 01BE500C
.text C:\WINDOWS\RTHDCPL.EXE[2592] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 01BE600C
.text C:\WINDOWS\RTHDCPL.EXE[2592] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 01BE800C
.text C:\WINDOWS\RTHDCPL.EXE[2592] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 01BE900C
.text C:\WINDOWS\RTHDCPL.EXE[2592] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 01BE400C
.text C:\WINDOWS\RTHDCPL.EXE[2592] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 01BEA00C
.text C:\WINDOWS\system32\igfxtray.exe[2632] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 008B000C
.text C:\WINDOWS\system32\igfxtray.exe[2632] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 008B100C
.text C:\WINDOWS\system32\igfxtray.exe[2632] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 008B200C
.text C:\WINDOWS\system32\igfxtray.exe[2632] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 008B300C
.text C:\WINDOWS\system32\igfxtray.exe[2632] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 008B400C
.text C:\WINDOWS\system32\igfxtray.exe[2632] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 008BA00C
.text C:\WINDOWS\system32\igfxtray.exe[2632] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 008B700C
.text C:\WINDOWS\system32\igfxtray.exe[2632] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 008B500C
.text C:\WINDOWS\system32\igfxtray.exe[2632] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 008B600C
.text C:\WINDOWS\system32\igfxtray.exe[2632] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 008B800C
.text C:\WINDOWS\system32\igfxtray.exe[2632] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 008B900C
.text C:\WINDOWS\system32\hkcmd.exe[2688] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 008B000C
.text C:\WINDOWS\system32\hkcmd.exe[2688] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 008B100C
.text C:\WINDOWS\system32\hkcmd.exe[2688] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 008B200C
.text C:\WINDOWS\system32\hkcmd.exe[2688] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 008B300C
.text C:\WINDOWS\system32\hkcmd.exe[2688] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 008B400C
.text C:\WINDOWS\system32\hkcmd.exe[2688] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 008BA00C
.text C:\WINDOWS\system32\hkcmd.exe[2688] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 008B700C
.text C:\WINDOWS\system32\hkcmd.exe[2688] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 008B500C
.text C:\WINDOWS\system32\hkcmd.exe[2688] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 008B600C
.text C:\WINDOWS\system32\hkcmd.exe[2688] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 008B800C
.text C:\WINDOWS\system32\hkcmd.exe[2688] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 008B900C
.text C:\WINDOWS\system32\igfxpers.exe[2788] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0088000C
.text C:\WINDOWS\system32\igfxpers.exe[2788] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0088100C
.text C:\WINDOWS\system32\igfxpers.exe[2788] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0088200C
.text C:\WINDOWS\system32\igfxpers.exe[2788] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 0088300C
.text C:\WINDOWS\system32\igfxpers.exe[2788] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 0088400C
.text C:\WINDOWS\system32\igfxpers.exe[2788] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 0088A00C
.text C:\WINDOWS\system32\igfxpers.exe[2788] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 0088700C
.text C:\WINDOWS\system32\igfxpers.exe[2788] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 0088500C
.text C:\WINDOWS\system32\igfxpers.exe[2788] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 0088600C
.text C:\WINDOWS\system32\igfxpers.exe[2788] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 0088800C
.text C:\WINDOWS\system32\igfxpers.exe[2788] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 0088900C
.text C:\WINDOWS\Explorer.EXE[3024] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0455000C
.text C:\WINDOWS\Explorer.EXE[3024] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0455100C
.text C:\WINDOWS\Explorer.EXE[3024] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0455200C
.text C:\WINDOWS\Explorer.EXE[3024] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 0455300C
.text C:\WINDOWS\Explorer.EXE[3024] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 0455700C
.text C:\WINDOWS\Explorer.EXE[3024] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 0455500C
.text C:\WINDOWS\Explorer.EXE[3024] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 0455600C
.text C:\WINDOWS\Explorer.EXE[3024] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 0455800C
.text C:\WINDOWS\Explorer.EXE[3024] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 0455400C
.text C:\WINDOWS\Explorer.EXE[3024] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 0455A00C
.text C:\WINDOWS\Explorer.EXE[3024] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 0455900C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00B3000C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 00B3100C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00B3200C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 00B3300C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 00B3700C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 00B3500C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 00B3600C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 00B3800C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00B3400C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 00B3A00C
.text C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[3404] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 00B3900C
.text C:\WINDOWS\system32\taskmgr.exe[3544] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 008C000C
.text C:\WINDOWS\system32\taskmgr.exe[3544] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 008C100C
.text C:\WINDOWS\system32\taskmgr.exe[3544] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 008C200C
.text C:\WINDOWS\system32\taskmgr.exe[3544] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 008C300C
.text C:\WINDOWS\system32\taskmgr.exe[3544] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 008C700C
.text C:\WINDOWS\system32\taskmgr.exe[3544] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 008C500C
.text C:\WINDOWS\system32\taskmgr.exe[3544] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 008C600C
.text C:\WINDOWS\system32\taskmgr.exe[3544] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 008C800C
.text C:\WINDOWS\system32\taskmgr.exe[3544] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 008C400C
.text C:\WINDOWS\system32\taskmgr.exe[3544] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 008CA00C
.text C:\WINDOWS\system32\taskmgr.exe[3544] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 008C900C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 008C000C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 008C100C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 008C200C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 008C300C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 008C700C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 008C500C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 008C600C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 008C800C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 008C400C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 008CA00C
.text C:\WINDOWS\system32\NOTEPAD.EXE[3944] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 008C900C
---- Devices - GMER 2.1 ----
Device \FileSystem\Ntfs \Ntfs 837D01F8
Device \FileSystem\Fastfat \FatCdrom 834041F8
Device \Driver\Tcpip \Device\Ip fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\usbuhci \Device\USBPDO-0 833B11F8
Device \Driver\usbuhci \Device\USBPDO-1 833B11F8
Device \Driver\usbuhci \Device\USBPDO-2 833B11F8
Device \Driver\usbuhci \Device\USBPDO-3 833B11F8
Device \Driver\usbehci \Device\USBPDO-4 833B9430
Device \Driver\Tcpip \Device\Tcp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Cdrom \Device\CdRom0 8358D1F8
Device \Driver\atapi \Device\Ide\IdePort0 [F72D8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F72D8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F72D8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [F72D8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [F72D8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e [F72D8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Cdrom \Device\CdRom1 8358D1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{B0DFD6C8-A794-4950-B028-1E96E2443A83} 83418430
Device \Driver\usbstor \Device\00000080 8369C1F8
Device \Driver\Cdrom \Device\CdRom2 8358D1F8
Device \Driver\usbstor \Device\00000081 8369C1F8
Device \Driver\Cdrom \Device\CdRom3 8358D1F8
Device \Driver\usbstor \Device\00000082 8369C1F8
Device \Driver\usbstor \Device\00000083 8369C1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 83418430
Device \Driver\usbstor \Device\00000084 8369C1F8
Device \Driver\NetBT \Device\NetbiosSmb 83418430
Device \Driver\PCI_PNP2490 \Device\0000004c sptd.sys
Device \Driver\Tcpip \Device\Udp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\RawIp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\usbuhci \Device\USBFDO-0 833B11F8
Device \Driver\usbstor \Device\0000007a 8369C1F8
Device \Driver\usbuhci \Device\USBFDO-1 833B11F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 835F1430
Device \Driver\usbstor \Device\0000007b 8369C1F8
Device \Driver\Tcpip \Device\IPMULTICAST fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\usbuhci \Device\USBFDO-2 833B11F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 835F1430
Device \Driver\usbuhci \Device\USBFDO-3 833B11F8
Device \Driver\usbehci \Device\USBFDO-4 833B9430
Device \Driver\usbstor \Device\0000007f 8369C1F8
Device \Driver\avncxr10 \Device\Scsi\avncxr101Port4Path0Target2Lun0 8358F430
Device \Driver\avncxr10 \Device\Scsi\avncxr101Port4Path0Target0Lun0 8358F430
Device \Driver\avncxr10 \Device\Scsi\avncxr101Port4Path0Target1Lun0 8358F430
Device \Driver\avncxr10 \Device\Scsi\avncxr101 8358F430
Device \FileSystem\Fastfat \Fat 834041F8
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 833D91F8
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xC2 0x89 0xAC 0xBD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x52 0xE2 0x1F 0xCA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x98 0x52 0xD3 0x25 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x66 0xBC 0x98 0x0C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0x04 0x26 0x07 0x3B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE8 0x5F 0x37 0xD3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x99 0x46 0xD6 0xBD ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x4D 0x9E 0x03 0xF2 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x0C 0x51 0x4A 0x79 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xC2 0x89 0xAC 0xBD ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x52 0xE2 0x1F 0xCA ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x98 0x52 0xD3 0x25 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x66 0xBC 0x98 0x0C ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0x04 0x26 0x07 0x3B ...
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...
---- EOF - GMER 2.1 ----
OTL: Code:
ATTFilter OTL logfile created on: 25.06.2013 10:41:25 - Run 3 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\*****\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 758,48 Mb Total Physical Memory | 273,28 Mb Available Physical Memory | 36,03% Memory free 1,81 Gb Paging File | 1,32 Gb Available in Paging File | 73,02% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,05 Gb Total Space | 50,22 Gb Free Space | 33,70% Space Free | Partition Type: NTFS Drive O: | 3,73 Gb Total Space | 0,45 Gb Free Space | 12,20% Space Free | Partition Type: FAT32 Computer Name: ***** | User Name: ***** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation) PRC - C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Sicherheitspaket\ORSP Client\fsorsp.exe (F-Secure Corporation) PRC - C:\Programme\Sicherheitspaket\Anti-Virus\fsav32.exe (F-Secure Corporation) PRC - C:\Programme\Sicherheitspaket\Anti-Virus\fssm32.exe (F-Secure Corporation) PRC - C:\Programme\Sicherheitspaket\Anti-Virus\fsgk32.exe (F-Secure Corporation) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Oracle Corporation) PRC - C:\Programme\Sicherheitspaket\Common\FSM32.EXE (F-Secure Corporation) PRC - C:\Programme\Sicherheitspaket\Common\FSMA32.EXE (F-Secure Corporation) PRC - C:\Programme\Sicherheitspaket\Common\FSHDLL32.EXE (F-Secure Corporation) PRC - C:\Programme\Sicherheitspaket\FWES\program\fsdfwd.exe (F-Secure Corporation) PRC - C:\Programme\Sicherheitspaket\Anti-Virus\fsgk32st.exe (F-Secure Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\HPZipm12.exe (HP) ========== Modules (No Company Name) ========== MOD - C:\Programme\Sicherheitspaket\Spam Control\fsas.dll () MOD - C:\Programme\Sicherheitspaket\Anti-Virus\fm4av.dll () MOD - C:\Programme\Sicherheitspaket\Anti-Virus\minifilter\hashlib_x86.dll () MOD - C:\Programme\Sicherheitspaket\FSPC\fspcfsm.eng () MOD - \\?\c:\programme\sicherheitspaket\hips\fsumi.dll () MOD - C:\Programme\Sicherheitspaket\FSGUI\strres.eng () MOD - C:\Programme\Sicherheitspaket\FSGUI\gres.dll () MOD - C:\Programme\Sicherheitspaket\FSGUI\fsavures.eng () MOD - C:\Programme\Sicherheitspaket\FSGUI\flyerres.eng () MOD - C:\Programme\Sicherheitspaket\FSGUI\aboutres.dll () MOD - C:\Programme\Sicherheitspaket\FSGUI\about.dll () MOD - C:\Programme\Sicherheitspaket\Anti-Virus\fsavhres.eng () MOD - c:\Programme\Sicherheitspaket\DAAS2\daas2.dll () MOD - C:\WINDOWS\system32\VTFLib.dll () MOD - C:\WINDOWS\system32\pdfmonnt.dll () ========== Services (SafeList) ========== SRV - (IPTools) -- C:\DOKUME~1\*****\LOKALE~1\Temp\Rar$EX28.609\iptools.exe File not found SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe File not found SRV - (gupdate) -- C:\Programme\Google\Update\GoogleUpdate.exe /svc File not found SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation) SRV - (FSORSPClient) -- C:\Programme\Sicherheitspaket\ORSP Client\fsorsp.exe (F-Secure Corporation) SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation) SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) SRV - (rpcapd) -- C:\Programme\WinPcap\rpcapd.exe (CACE Technologies, Inc.) SRV - (FSMA) -- C:\Programme\Sicherheitspaket\Common\FSMA32.EXE (F-Secure Corporation) SRV - (FSDFWD) -- C:\Programme\Sicherheitspaket\FWES\program\fsdfwd.exe (F-Secure Corporation) SRV - (F-Secure Gatekeeper Handler Starter) -- C:\Programme\Sicherheitspaket\Anti-Virus\fsgk32st.exe (F-Secure Corporation) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (PSI_SVC_2) -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe (Protexis Inc.) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (WDICA) -- File not found DRV - (VcommMgr) -- System32\Drivers\VcommMgr.sys File not found DRV - (VComm) -- system32\DRIVERS\VComm.sys File not found DRV - (USBModem) -- system32\DRIVERS\lgusbmodem.sys File not found DRV - (UsbDiag) -- system32\DRIVERS\lgusbdiag.sys File not found DRV - (usbbus) -- system32\DRIVERS\lgusbbus.sys File not found DRV - (PDRFRAME) -- File not found DRV - (PDRELI) -- File not found DRV - (PDFRAME) -- File not found DRV - (PDCOMP) -- File not found DRV - (PCIDump) -- File not found DRV - (pccsmcfd) -- system32\DRIVERS\pccsmcfd.sys File not found DRV - (mcdbus) -- system32\DRIVERS\mcdbus.sys File not found DRV - (LGVMODEM) -- system32\DRIVERS\lgvmodem.sys File not found DRV - (lgbusenum) -- system32\DRIVERS\lgbtbus.sys File not found DRV - (LgBttPort) -- system32\DRIVERS\lgbtport.sys File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (hwusbdev) -- system32\DRIVERS\ewusbdev.sys File not found DRV - (hwdatacard) -- system32\DRIVERS\ewusbmdm.sys File not found DRV - (ewusbnet) -- system32\DRIVERS\ewusbnet.sys File not found DRV - (Changer) -- File not found DRV - (catchme) -- C:\cofi.exe\catchme.sys File not found DRV - (BTHidMgr) -- System32\Drivers\BTHidMgr.sys File not found DRV - (BTHidEnum) -- System32\Drivers\vbtenum.sys File not found DRV - (Btcsrusb) -- System32\Drivers\btcusb.sys File not found DRV - (BT) -- system32\DRIVERS\btnetdrv.sys File not found DRV - (BlueletSCOAudio) -- system32\DRIVERS\BlueletSCOAudio.sys File not found DRV - (BlueletAudio) -- system32\DRIVERS\blueletaudio.sys File not found DRV - (avncxr10) -- File not found DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation) DRV - (F-Secure Gatekeeper) -- C:\Programme\Sicherheitspaket\Anti-Virus\minifilter\fsgk.sys () DRV - (fsbts) -- C:\WINDOWS\system32\drivers\fsbts.sys () DRV - (90046742) -- C:\WINDOWS\system32\drivers\90046742.sys (Kaspersky Lab ZAO) DRV - (sptd) -- C:\WINDOWS\system32\drivers\sptd.sys () DRV - (NPF) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies, Inc.) DRV - (tap0901) -- C:\WINDOWS\system32\drivers\tap0901.sys (The OpenVPN Project) DRV - (F-Secure HIPS) -- C:\Programme\Sicherheitspaket\HIPS\drivers\fshs.sys (F-Secure Corporation) DRV - (FSFW) -- C:\WINDOWS\system32\drivers\fsdfw.sys (F-Secure Corporation) DRV - (F-Secure Filter) -- C:\Programme\Sicherheitspaket\Anti-Virus\win2k\fsfilter.sys () DRV - (F-Secure Recognizer) -- C:\Programme\Sicherheitspaket\Anti-Virus\win2k\fsrec.sys () DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (btnetBUs) -- C:\WINDOWS\system32\drivers\btnetBus.sys () DRV - (BtHidBus) -- C:\WINDOWS\system32\drivers\BtHidBus.sys (IVT Corporation.) DRV - (SCDEmu) -- C:\WINDOWS\System32\drivers\scdemu.sys (PowerISO Computing, Inc.) DRV - (IvtBtBUs) -- C:\WINDOWS\system32\drivers\IvtBtBus.sys (IVT Corporation.) DRV - (s1018mdm) -- C:\WINDOWS\system32\drivers\s1018mdm.sys (MCCI Corporation) DRV - (s1018unic) -- C:\WINDOWS\system32\drivers\s1018unic.sys (MCCI Corporation) DRV - (s1018mgmt) -- C:\WINDOWS\system32\drivers\s1018mgmt.sys (MCCI Corporation) DRV - (s1018obex) -- C:\WINDOWS\system32\drivers\s1018obex.sys (MCCI Corporation) DRV - (s1018bus) -- C:\WINDOWS\system32\drivers\s1018bus.sys (MCCI Corporation) DRV - (s1018nd5) -- C:\WINDOWS\system32\drivers\s1018nd5.sys (MCCI Corporation) DRV - (s1018mdfl) -- C:\WINDOWS\system32\drivers\s1018mdfl.sys (MCCI Corporation) DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative) DRV - (SUPERWEBCAM) -- C:\WINDOWS\system32\drivers\superwebcam.sys (Windows (R) 2000 DDK provider) DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.) DRV - (sfvfs02) -- C:\WINDOWS\system32\drivers\sfvfs02.sys (Protection Technology) DRV - (sfdrv01) -- C:\WINDOWS\system32\drivers\sfdrv01.sys (Protection Technology) DRV - (sfhlp02) -- C:\WINDOWS\system32\drivers\sfhlp02.sys (Protection Technology) DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\Hdaudio.sys (Windows (R) Server 2003 DDK provider) DRV - (AN983) -- C:\WINDOWS\system32\drivers\an983.sys (ADMtek Incorporated.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\URLSearchHook: - No CLSID value found IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {6552C7DD-90A4-4387-B795-F8F96747DE19} IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=C3738F8D-0417-4EBC-AC82-574B0965F400&apn_sauid=D94E76C3-99A3-4935-A5D6-A55B017ECF55 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://de.blackle.com/" FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0.1 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6 FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1 FF - prefs.js..extensions.enabledItems: 6 FF - prefs.js..extensions.enabledItems: 2 FF - prefs.js..extensions.enabledItems: 48 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {c8f71e5b-88f8-42a7-98bb-e4c506161de9}:0.4 FF - prefs.js..extensions.enabledItems: {07b2a769-ed19-4483-87ce-c643914c9626}:1.6 FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=" FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1167637.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.25.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.25.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll File not found FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\litmus-ff@f-secure.com: C:\Programme\Sicherheitspaket\NRS\litmus-ff@f-secure.com [2013.05.15 04:21:17 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\K-Meleon\Extensions\\Plugins: C:\Programme\K-Meleon\Plugins [2013.05.15 15:47:34 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\K-Meleon\Extensions\\Components: C:\Programme\K-Meleon\Components [2013.05.15 15:48:19 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.05.03 08:59:57 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.04.12 06:56:20 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2013.03.26 23:29:30 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.10.27 19:51:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Extensions [2013.06.22 10:47:49 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\extensions [2010.03.21 20:52:34 | 000,000,000 | ---D | M] (ANTHEM) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\extensions\{07b2a769-ed19-4483-87ce-c643914c9626} [2010.07.23 04:59:02 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.03.21 20:53:05 | 000,000,000 | ---D | M] (AmbientFox) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\extensions\{c8f71e5b-88f8-42a7-98bb-e4c506161de9} [2009.10.27 19:59:44 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} [2013.06.22 10:47:49 | 000,534,298 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2012.12.28 23:57:40 | 000,036,139 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi [2013.05.08 20:00:15 | 000,870,680 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2009.10.28 00:28:07 | 000,000,687 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\searchplugins\ask.xml [2012.08.03 00:52:47 | 000,002,299 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\searchplugins\askcom.xml [2009.11.03 10:45:52 | 000,001,679 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\searchplugins\heise-netze-whois.xml [2013.06.22 10:43:43 | 000,001,056 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ido3j2y7.default\searchplugins\icqplugin.xml [2013.05.03 08:59:57 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2013.04.12 06:56:13 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2013.04.10 08:57:39 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2013.04.10 10:18:46 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2013.04.10 10:18:46 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2013.04.10 10:18:46 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2013.04.10 10:18:46 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2013.04.10 10:18:46 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2013.04.10 10:18:46 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2013.05.11 05:26:24 | 000,000,355 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Browsing Protection Class) - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Programme\Sicherheitspaket\NRS\iescript\baselitmus.dll (F-Secure Corporation) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O3 - HKLM\..\Toolbar: (Browsing Protection Toolbar) - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Programme\Sicherheitspaket\NRS\iescript\baselitmus.dll (F-Secure Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [F-Secure Manager] C:\Programme\Sicherheitspaket\Common\FSM32.EXE (F-Secure Corporation) O4 - HKLM..\Run: [F-Secure TNB] C:\Programme\Sicherheitspaket\FSGUI\TNBUtil.exe (F-Secure Corporation) O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Oracle Corporation) O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\daemon.exe (DT Soft Ltd) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Sicherheitspaket\FSPS\program\FSLSP.DLL (F-Secure Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Sicherheitspaket\FSPS\program\FSLSP.DLL (F-Secure Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\Sicherheitspaket\FSPS\program\FSLSP.DLL (F-Secure Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - C:\Programme\Sicherheitspaket\FSPS\program\FSLSP.DLL (F-Secure Corporation) O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0) O16 - DPF: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 10.25.2) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B0DFD6C8-A794-4950-B028-1E96E2443A83}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.10.27 17:45:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.06.25 03:01:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2013.06.25 03:01:06 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2013.06.25 03:01:06 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2013.06.25 02:41:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess [2013.06.24 23:41:13 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype [2013.06.24 23:41:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype [2013.06.24 22:12:33 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2013.06.08 20:34:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\Flight Simulator Files [2013.06.08 20:11:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Games [2013.06.08 19:55:47 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Games [2013.06.08 14:54:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Westwood [2013.06.08 14:54:07 | 000,000,000 | ---D | C] -- C:\Westwood [2013.06.07 19:35:48 | 000,000,000 | ---D | C] -- C:\Westwood(2) [2013.06.07 17:32:05 | 000,000,000 | ---D | C] -- C:\Programme\S.A.D [2013.06.01 12:15:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Startmenü\Programme\LinuxLive USB Creator [2013.06.01 12:15:04 | 000,000,000 | ---D | C] -- C:\Programme\LinuxLive USB Creator [2012.08.23 03:30:32 | 001,069,056 | ---- | C] (ToMMTi-Systems) -- C:\Dokumente und Einstellungen\*****\dat3.000 [2012.08.23 03:30:32 | 000,765,952 | ---- | C] (ToMMTi-Systems) -- C:\Dokumente und Einstellungen\*****\dat1.000 [2012.08.23 03:30:32 | 000,208,896 | ---- | C] (ToMMTi-Systems (hxxp://www.tommti-systems.com)) -- C:\Dokumente und Einstellungen\*****\3DAnalyze.exe [2012.08.23 03:30:32 | 000,090,112 | ---- | C] (ToMMTi-Systems) -- C:\Dokumente und Einstellungen\*****\hook_3DA.dll [2012.08.23 03:30:32 | 000,052,736 | ---- | C] (ToMMTi-Systems) -- C:\Dokumente und Einstellungen\*****\ForceDLL.dll [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.06.25 10:25:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.06.25 03:01:15 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2013.06.25 00:03:08 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.06.25 00:03:04 | 000,345,016 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2013.06.24 22:54:32 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2013.06.24 22:15:56 | 000,469,248 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2013.06.24 22:15:56 | 000,451,550 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2013.06.24 22:15:56 | 000,088,808 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2013.06.24 22:15:56 | 000,075,542 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2013.06.22 12:20:31 | 000,013,096 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\tempdecal.wad [2013.06.17 01:17:56 | 000,236,032 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2013.06.08 20:11:07 | 000,001,751 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Flight Simulator 2004.lnk [2013.06.08 15:08:16 | 000,001,421 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Red Alert 2.lnk [2013.06.08 14:29:27 | 000,780,973 | -H-- | M] () -- C:\WINDOWS\System32\~tmp2938.$$$ [2013.06.07 17:42:16 | 000,037,817 | ---- | M] () -- C:\WINDOWS\DIIUnin.dat [2013.05.29 13:01:25 | 000,921,654 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\de_dust0005.jpg [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.06.25 03:01:15 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2013.06.21 17:31:39 | 000,013,096 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\tempdecal.wad [2013.06.08 20:11:07 | 000,001,751 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Flight Simulator 2004.lnk [2013.06.08 15:08:16 | 000,001,421 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Red Alert 2.lnk [2013.06.08 14:29:27 | 000,780,973 | -H-- | C] () -- C:\WINDOWS\System32\~tmp2938.$$$ [2013.05.30 12:17:54 | 000,921,654 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\de_dust0005.jpg [2013.04.07 21:18:44 | 000,000,918 | ---- | C] () -- C:\WINDOWS\GTA-SA_Trn_Settings.ini [2013.01.15 03:58:59 | 000,088,576 | -H-- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\rbap550.dll [2013.01.15 03:58:59 | 000,029,184 | -H-- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RBInternetEncodings550.dll [2013.01.03 23:16:13 | 000,240,640 | ---- | C] () -- C:\WINDOWS\System32\NMOCOD.DLL [2013.01.03 23:16:13 | 000,035,328 | ---- | C] () -- C:\WINDOWS\System32\INETWH32.DLL [2012.09.19 06:19:24 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2012.08.23 03:30:32 | 000,987,136 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\dat2.000 [2012.08.23 03:30:32 | 000,039,532 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\help.html [2012.08.23 03:30:32 | 000,000,311 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\scroll.css [2012.08.06 15:40:23 | 000,044,240 | ---- | C] () -- C:\WINDOWS\System32\drivers\fsbts.sys [2012.08.03 21:25:33 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2012.01.08 00:43:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\SpeechPad.INI [2011.09.26 21:39:02 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\$_hpcst$.hpc [2010.10.16 00:35:53 | 000,033,519 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\.jose.user.preferences [2010.06.13 20:31:14 | 000,017,408 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\WebpageIcons.db [2010.05.27 21:43:13 | 001,137,336 | ---- | C] () -- C:\Programme\SAVE5289.SAV [2010.05.22 09:35:53 | 001,738,485 | ---- | C] () -- C:\Programme\SAVE4957.SAV [2010.05.22 09:12:28 | 000,000,284 | ---- | C] () -- C:\Programme\SAVE4823.SED [2010.05.20 23:30:07 | 001,128,565 | ---- | C] () -- C:\Programme\SAVE0043.SAV [2009.11.15 15:57:56 | 000,236,032 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.10.29 01:03:19 | 000,004,940 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mtbjfghn.xbe [2009.10.28 20:24:11 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat ========== ZeroAccess Check ========== [2009.10.27 17:47:07 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 08:52:26 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 08:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2010.09.30 13:51:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo [2012.08.03 00:41:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask [2010.04.16 01:34:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth [2013.06.25 02:41:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess [2009.11.05 08:11:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software [2009.10.28 00:52:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2010.07.17 00:55:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Deskshare [2012.08.06 15:39:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f-secure [2012.08.06 15:37:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg [2010.04.27 02:31:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GKit [2010.10.29 08:40:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2009.11.05 07:50:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations [2011.09.24 15:50:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Photodex [2009.12.27 23:19:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle [2010.04.27 17:58:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle VideoSpin [2009.12.27 20:58:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony [2012.06.20 04:48:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos [2010.07.17 00:55:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2011.01.08 21:48:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VideoConverter [2010.09.12 16:54:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WebcamMax [2010.06.04 12:52:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\1&1 [2010.09.30 16:06:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Ashampoo [2012.09.20 01:54:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Atari [2010.11.28 17:45:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\avidemux [2010.08.22 13:34:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Balabolka [2009.11.24 15:17:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\DAEMON Tools Lite [2011.12.23 14:12:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\DVDVideoSoft [2013.03.22 23:18:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\DVDVideoSoftIEHelpers [2010.09.15 06:27:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Engelmann Media [2013.05.11 09:41:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\F-Secure [2013.01.04 00:03:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\fltk.org [2009.11.03 00:31:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GanymedeNet [2010.09.12 12:23:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GetRightToGo [2011.02.05 10:16:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GrabPro [2010.04.27 04:57:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\gtk-2.0 [2010.11.01 18:02:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\HoldingNuts [2010.08.22 13:34:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hunspell [2013.03.21 02:09:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\ICQ [2011.02.05 10:20:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\IEPro [2010.08.31 03:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Image Zone Express [2013.03.22 08:23:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\JonDo [2013.05.15 15:48:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\K-Meleon [2012.09.20 01:17:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Leadertech [2013.05.03 19:32:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Lunascape [2010.02.23 19:22:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Metaversum [2011.08.11 23:02:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\mojosoft [2009.12.28 23:09:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\MSNInstaller [2009.10.31 07:44:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Multi File Downloader [2013.02.05 22:32:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\MusicBrainz [2011.09.24 15:50:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Netscape [2013.03.26 03:41:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Notepad++ [2013.05.11 03:28:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\nvid [2013.02.12 19:15:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Nvu [2013.05.15 15:43:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Opera [2012.08.03 21:03:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Oracle [2011.09.24 15:48:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Photodex [2009.10.27 21:01:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\pokerth [2009.12.27 21:10:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Publish Providers [2011.10.03 16:22:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Red Alert 3 [2012.06.20 04:41:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Runscanner.net [2010.02.21 13:08:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SecondLife [2010.04.11 19:05:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Serif [2009.12.27 21:13:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Sony [2011.10.22 12:05:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Sprite PC Agent [2011.10.22 12:05:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Sprite Software [2013.01.20 23:26:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Stellarium [2012.02.09 18:16:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SynthMaker [2010.12.31 00:48:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\TeamViewer [2013.03.26 23:30:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Thunderbird [2009.11.19 12:56:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Uniblue [2013.06.15 23:18:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\uTorrent [2010.09.12 16:27:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\WebcamMax [2013.03.25 10:55:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Wireshark ========== Purity Check ========== < End of report > Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.06.25.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 ***** :: ***** [Administrator] Schutz: Aktiviert 25.06.2013 03:12:41 mbam-log-2013-06-25 (03-12-41).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 517106 Laufzeit: 2 Stunde(n), 23 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 17 C:\Dokumente und Einstellungen\Gastkonto\Eigene Dateien\Downloads\Steering_Lock_6B.rar (PUP.HackTool.HotKeysHook) -> Keine Aktion durchgeführt. C:\RECYCLER\S-1-5-21-1229272821-1326574676-839522115-1006\Dc10.rar (PUP.HackTool.HotKeysHook) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Gastkonto\Eigene Dateien\Downloads\file_8_17510422062010.rar (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gastkonto\Eigene Dateien\Downloads\file_8_19040603082010.zip (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gastkonto\Eigene Dateien\Downloads\file_8_47590305082010.zip (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gastkonto\Eigene Dateien\Downloads\Nos Mod Z28 .rar (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gastkonto\Eigene Dateien\Downloads\Nos_System_Z28.rar (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gastkonto\Eigene Dateien\Downloads\SmokeMod Z28.rar (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gastkonto\Eigene Dateien\Downloads\SmokeMod.Multi.Z.rar (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. c:\dokumente und einstellungen\*****\lokale einstellungen\anwendungsdaten\sun\java\deployment\cache\6.0\49\b1114b1-6a7696b3 (Trojan.Agent.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temp\pricepeep_130001_1001.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\aFNGJZT.dat (Trojan.Agent.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\RECYCLER\S-1-5-21-1229272821-1326574676-839522115-1005\Dc43\hlc10.rar (Worm.Magania) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\RECYCLER\S-1-5-21-1229272821-1326574676-839522115-1005\Dc44\HLC_v1.zip (Worm.Magania) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\RECYCLER\S-1-5-21-1229272821-1326574676-839522115-1006\Dc2.rar (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{503E77DE-BFC5-4F05-8153-CB4A92943EF1}\RP864\A0121024.exe (Worm.Magania) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{503E77DE-BFC5-4F05-8153-CB4A92943EF1}\RP864\A0121025.exe (Worm.Magania) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Was ich vielleicht noch anmerken sollte: Dieser Java Fund hat mich recht stutzig gemacht und ich wollte die neueste Version manuell installieren. Ich habe mir also von der Herstellerseite ORACLE das aktuellste Setup für mein OS heruntergeladen - als ich die Datei ausführen wollte, bekam ich jedoch von Windows die Meldung, dass ein Problem festgestellt wurde und das Setup nun beendet wird. Auch im Windows Startmenü sind keine neuen Einträge vorhanden, die irgendeine mir unbekannte Software ausführen sollte. Ebenso unter den Diensten finde ich keine neuen Einträge o.Ä. Ich bedanke mich schonmal im Voraus für eure Bemühungen sich dem Fall anzunehmen und hoffe, dass ich das was ich mir eingefangen habe wieder loswerde. Ich bin nämlich schon ziemlich am Verzweifeln  |
| Themen zu Hartnäckige Infektion |
| adware.agent, alert, bildschirm, einstellungen, google, hacktool.gamescheat.gen, hdaudio.sys, helper, internet, kaspersky, langsam, neustart, nodrives, ntdll.dll, plug-in, poweriso, pricepeep, problem, pup.hacktool.hotkeyshook, realtek, registry, scan, software, spam, starten, svchost.exe, system, temp, trojan.agent.ed, trojan.generic., usbport.sys, winlogon.exe, worm.magania |
Baum-Darstellung