Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.07.2013, 14:59   #1
LinksBlinker
 
BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Standard

BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?



Hallo,

ich hatte mir den BKA-Trojaner eingefangen. Daraufhin, habe ich mein Windows 7 64 bit neu aufgesetzt, dabei den MBR überschrieben, alle Partionen formatiert und gelöscht.

Nun ist meine Frage, kann es in irgendeiner Form noch möglich sein, das der BKA-Trojaner noch iwas überlebt haben könnte? Ich hab immer Bedenken vor diesen Rootkits.

Ich hab mal mit Avira und Malewarebytes durchsucht, findet nichts. Sollte ich noch weitere Rootkit- und Malewarescanner einsetzen, oder kann ich sicher sein, das ich jetzt wirklich ein sauberes System habe?

Vielen Dank im voraus

Alt 24.07.2013, 15:06   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Standard

BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?



Hallo,

nein, wenn du so neu installiert hast, kann das ein Schädling nicht überleben. Es gibt einen Sonderfall zB sowas wie Mebromi, die sind aber äußerst selten und laufen auch nicht auf jedem Rechner/BIOS

Du hast die gesamte Platte flach gemacht inkl. MBR, damit hast du alle Orte erwischt, auf dem sich der Schädling aufhält.

Zitat:
dabei den MBR überschrieben, alle Partionen formatiert und gelöscht.
Mann muss die Partitionen nicht erst formatieren um sie danach zu löschen. Das ist Zeitverschwendung, man kann gleich alle Partitionen löschen oder zB mit einem Live-Linux oder Plattendiagnosetool des Herstellers die Platte mit Nullen überschreiben. Danach ist sie völlig leer, muss neu eingerichtet (MBR oder bei neuen Rechnern mit GPT-Schema) und partitioniert werden. Die neu erstellten Partitionen muss man danach formatieren, erst das das erstellt ein Dateisystem auf ihnen.
__________________

__________________

Alt 24.07.2013, 15:13   #3
LinksBlinker
 
BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Standard

BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?



Ok, das beruhigt mich

Nun noch eine Frage, ich hab noch eine externe Festplatte, ein USB-Stick und mein iPhone, welche alle via USB an dem verseuchten Sytem dranhingen. Auf der Festplatte und dem USB-Stick könnte was drauf sein, aber kann sich der auch auf dem Smartphone einisten?

Mit welchen Tools bekomme ich die sauber? Datenverlust spielt keine Rolle, da sind keine wichtigen drauf.
Sobald ich die anstecken würde, könnte sich mein jetzt sauberes System ja sofort wieder per Drive-By anstecken, oder müsste ich dazu erst irgendeine .exe Datei öffnen?
__________________

Alt 24.07.2013, 15:18   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Standard

BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?



Smartphone kann ich dir nicht sagen, einfach nur "Smartphone" ist auch zu wenig Info. Es gibt zig Smartphones mit verschiedenen Betriebssystemen (Android Apple IOS etc. pp)

Wegen externer (USB-) Datenträger:

Automatische Wiedergabe (Autorun) deaktivieren

Lesestoff:
Aufgabe von Autorun

Die Hauptaufgabe von Autorun besteht darin, auf Hardwareaktionen, die auf einem Computer gestartet werden, softwareseitig zu reagieren. Autorun bietet die folgenden Funktionen:
  • Doppelklicken
  • Kontextmenü
  • Automatische Wiedergabe

Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen. Während der automatischen Wiedergabe wird die Datei "Autorun.inf" auf dem Medium analysiert. Diese Datei legt fest, welche Befehle vom System ausgeführt werden. Viele Firmen nutzen diese Funktionalität zum Starten von Installationsprogrammen.

Das Problem bzw. das Sicherheitsrisiko besteht darin, dass die Autorun-Funktion missbraucht werden kann, um automatisch zB auf infizierten USB-Sticks eine Schädlingsdatei (die in der autorun.inf definiert ist) auszuführen. Ich empfehle dir daher dringend, Autorun komplett zu deaktivieren.



Windows XP: Zur Vereinfachung hab ich die Datei noautorun.reg hochgeladen. Lade sie bitte auf den Desktop herunter, führ die Datei per Doppelklick aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.


Falls die o.g. Datei noautorun.reg nicht herunterladbar sein sollte, hier der Inhalt der noautorun.reg; einfach in eine Textdatei kopieren und diese als noautorun.reg Datei abspeichern und per Doppelklick ausführen um es in die Registry zu schreiben:
Code:
ATTFilter
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
         

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.07.2013, 03:14   #5
LinksBlinker
 
BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Standard

BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?



So, eine Frage bezüglich des Themas ist doch noch aufgekommen. Da ich immer noch nicht wirklich Vertrauen in mein System hab und mir auch aufgefallen ist, das ich eine Maus und eine Tastatur mit internen Speicher hab (hab ich im Schrecken der Erkenntnis über den BKA-Trojaner komplett vergessen), benutzte ich noch einmal OTL und GMER.

GMER findet etwas, nur weiß ich nicht ob es wieder was schädigendes ist.
Unruhe bereitet mir vor allem der leere tmp Ordner.

Kann jemand mal bitte kurz drüber schauen?

Danke im voraus

OTL.txt
Code:
ATTFilter
OTL logfile created on: 25.07.2013 03:25:13 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Marc\Antivirensoftware
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
7,99 Gb Total Physical Memory | 6,37 Gb Available Physical Memory | 79,68% Memory free
15,98 Gb Paging File | 14,35 Gb Available in Paging File | 89,77% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 882,68 Gb Total Space | 839,23 Gb Free Space | 95,08% Space Free | Partition Type: NTFS
Drive D: | 48,73 Gb Total Space | 48,64 Gb Free Space | 99,82% Space Free | Partition Type: NTFS
 
Computer Name: MARC-PC | User Name: Marc | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.07.25 03:23:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Marc\Antivirensoftware\OTL.exe
PRC - [2013.07.24 03:45:19 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2013.07.24 03:45:00 | 000,345,144 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.07.24 03:45:00 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.04.25 00:10:06 | 000,659,224 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech Gaming Software\Applets\LCDMedia.exe
PRC - [2013.02.26 00:32:22 | 001,260,320 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2013.01.18 08:14:20 | 000,383,264 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - [2009.07.14 03:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2013.07.24 03:45:19 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.07.24 03:45:04 | 000,589,368 | ---- | M] (Avira Operations GmbH & Co. KG) [Disabled | Stopped] -- C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2013.07.24 03:45:00 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.07.10 03:56:22 | 000,559,016 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2013.06.21 09:53:36 | 000,162,408 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2013.02.26 00:32:22 | 001,260,320 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2013.01.18 08:14:20 | 000,383,264 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2013.07.24 03:45:30 | 000,130,016 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2013.07.24 03:45:30 | 000,100,712 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2013.07.24 03:45:30 | 000,028,600 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2013.02.18 09:22:16 | 000,189,288 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)
DRV:64bit: - [2013.01.17 21:15:12 | 000,066,800 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGSHidFilt.Sys -- (LGSHidFilt)
DRV:64bit: - [2012.03.01 08:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.06.16 22:10:08 | 001,308,160 | ---- | M] (C-Media Electronics Inc) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\CAHS164.sys -- (CorsairCAHS1)
DRV:64bit: - [2011.06.10 06:34:52 | 000,539,240 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2011.03.11 08:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 08:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.11.20 15:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2010.11.20 13:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2009.11.24 02:38:00 | 000,016,008 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGVirHid.sys -- (LGVirHid)
DRV:64bit: - [2009.11.24 02:37:50 | 000,022,408 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGBusEnum.sys -- (LGBusEnum)
DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.18 12:54:10 | 000,006,144 | ---- | M] (Sophos Plc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\CF14.tmp -- (MEMSWEEP2)
DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 54 B1 59 07 0F 88 CE 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
 
 
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter},
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\28.0.1500.72\PepperFlash\pepflashplayer.dll
CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\28.0.1500.72\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\28.0.1500.72\pdf.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll
CHR - plugin: NVIDIA 3D Vision (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll
CHR - plugin: NVIDIA 3D VISION (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll
CHR - Extension: Google Docs = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.5_0\
CHR - Extension: Google Drive = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.3_0\
CHR - Extension: YouTube = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.6_0\
CHR - Extension: Google-Suche = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.20_0\
CHR - Extension: Google Mail = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKCU..\Run: [Steam] C:\Users\Marc\Zocken\steam.exe (Valve Corporation)
O4 - Startup: C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Produktregistrierung.lnk = C:\Programme\Logitech Gaming Software\EReg\eReg.exe (Leader Technologies/Logitech)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000019 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8D887E73-FBBC-42A8-ADF9-8786741BB362}: DhcpNameServer = 192.168.0.1
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.07.25 03:19:49 | 000,000,000 | ---D | C] -- C:\Users\Marc\Antivirensoftware
[2013.07.25 02:57:01 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\SPReview
[2013.07.25 02:56:22 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\EventProviders
[2013.07.25 02:18:01 | 000,000,000 | ---D | C] -- C:\ProgramData\LogiShrd
[2013.07.25 02:18:00 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\NVIDIA
[2013.07.25 02:18:00 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Local\Logitech
[2013.07.25 02:17:59 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\Leadertech
[2013.07.25 02:17:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Logitech
[2013.07.25 02:17:15 | 000,000,000 | ---D | C] -- C:\Program Files\Logitech Gaming Software
[2013.07.25 02:16:33 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\Logitech
[2013.07.25 02:16:33 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\Logishrd
[2013.07.25 01:47:42 | 000,116,224 | ---- | C] (Windows (R) Codename Longhorn DDK provider) -- C:\Windows\SysNative\fms.dll
[2013.07.25 01:47:28 | 000,093,696 | ---- | C] (Windows (R) Codename Longhorn DDK provider) -- C:\Windows\SysWow64\fms.dll
[2013.07.25 00:03:28 | 000,000,000 | ---D | C] -- C:\Users\Marc\dumps
[2013.07.25 00:02:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Steam
[2013.07.25 00:02:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam
[2013.07.25 00:02:16 | 000,000,000 | ---D | C] -- C:\Users\Marc\Zocken
[2013.07.24 23:51:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sophos
[2013.07.24 23:51:56 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Sophos
[2013.07.24 23:06:00 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\Skype
[2013.07.24 23:05:53 | 000,000,000 | R--D | C] -- C:\Program Files (x86)\Skype
[2013.07.24 23:05:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2013.07.24 23:05:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Skype
[2013.07.24 23:05:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Skype
[2013.07.24 15:24:07 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\Malwarebytes
[2013.07.24 15:24:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.07.24 15:24:01 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.07.24 15:24:01 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2013.07.24 15:24:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.07.24 15:23:38 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Local\Programs
[2013.07.24 15:12:18 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\MRT
[2013.07.24 05:22:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
[2013.07.24 05:21:55 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft.NET
[2013.07.24 05:21:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Google
[2013.07.24 05:21:10 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Local\Google
[2013.07.24 05:20:51 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Local\Deployment
[2013.07.24 05:20:51 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Local\Apps
[2013.07.24 04:28:27 | 000,000,000 | ---D | C] -- C:\Windows\Panther
[2013.07.24 04:03:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation
[2013.07.24 03:48:56 | 000,000,000 | ---D | C] -- C:\ProgramData\NVIDIA
[2013.07.24 03:48:50 | 000,083,672 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avnetflt.sys
[2013.07.24 03:48:40 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\Avira
[2013.07.24 03:48:18 | 000,061,216 | ---- | C] (Khronos Group) -- C:\Windows\SysNative\OpenCL.dll
[2013.07.24 03:48:18 | 000,053,024 | ---- | C] (Khronos Group) -- C:\Windows\SysWow64\OpenCL.dll
[2013.07.24 03:48:07 | 000,000,000 | ---D | C] -- C:\ProgramData\NVIDIA Corporation
[2013.07.24 03:47:55 | 000,000,000 | ---D | C] -- C:\Program Files\NVIDIA Corporation
[2013.07.24 03:47:55 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\NVIDIA Corporation
[2013.07.24 03:46:19 | 000,130,016 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys
[2013.07.24 03:46:19 | 000,100,712 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2013.07.24 03:46:19 | 000,028,600 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys
[2013.07.24 03:46:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013.07.24 03:46:19 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Avira
[2013.07.24 03:45:41 | 000,000,000 | -HSD | C] -- C:\Windows\Installer
[2013.07.24 03:36:43 | 000,000,000 | R--D | C] -- C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[2013.07.24 03:36:43 | 000,000,000 | R--D | C] -- C:\Users\Marc\Searches
[2013.07.24 03:36:43 | 000,000,000 | R--D | C] -- C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2013.07.24 03:36:35 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\Identities
[2013.07.24 03:36:33 | 000,000,000 | R--D | C] -- C:\Users\Marc\Contacts
[2013.07.24 03:36:32 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Local\VirtualStore
[2013.07.24 03:36:24 | 000,000,000 | --SD | C] -- C:\Users\Marc\AppData\Roaming\Microsoft
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\Videos
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\Saved Games
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\Pictures
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\Music
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\Links
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\Favorites
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\Downloads
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\Documents
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\Desktop
[2013.07.24 03:36:24 | 000,000,000 | R--D | C] -- C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Vorlagen
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\AppData\Local\Verlauf
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\AppData\Local\Temporary Internet Files
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Startmenü
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\SendTo
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Recent
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Netzwerkumgebung
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Lokale Einstellungen
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Documents\Eigene Videos
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Documents\Eigene Musik
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Eigene Dateien
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Documents\Eigene Bilder
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Druckumgebung
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Cookies
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\AppData\Local\Anwendungsdaten
[2013.07.24 03:36:24 | 000,000,000 | -HSD | C] -- C:\Users\Marc\Anwendungsdaten
[2013.07.24 03:36:24 | 000,000,000 | -H-D | C] -- C:\Users\Marc\AppData
[2013.07.24 03:36:24 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Local\Temp
[2013.07.24 03:36:24 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Local\Microsoft
[2013.07.24 03:36:24 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\Media Center Programs
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\Recovery
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\Programme
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
[2013.07.24 03:36:16 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
[2013.07.24 03:36:13 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
[2013.07.24 03:29:55 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch
[2013.07.24 03:29:18 | 000,000,000 | -HSD | C] -- C:\System Volume Information
[4 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.07.25 03:26:00 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.07.25 03:21:12 | 000,014,640 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.07.25 03:21:12 | 000,014,640 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.07.25 03:19:25 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.07.25 03:19:25 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.07.25 03:19:25 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.07.25 03:19:25 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.07.25 03:19:25 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.07.25 03:18:21 | 000,000,000 | ---- | M] () -- C:\Users\Marc\defogger_reenable
[2013.07.25 03:14:36 | 000,001,102 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.07.25 03:13:48 | 000,275,856 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2013.07.25 03:13:41 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.07.25 03:13:20 | 2140,495,871 | -HS- | M] () -- C:\hiberfil.sys
[2013.07.25 02:19:28 | 000,001,005 | ---- | M] () -- C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Produktregistrierung.lnk
[2013.07.25 00:43:16 | 000,000,212 | ---- | M] () -- C:\Users\Marc\Desktop\Killing Floor.url
[2013.07.25 00:10:47 | 000,000,211 | ---- | M] () -- C:\Users\Marc\Desktop\Counter-Strike Global Offensive.url
[2013.07.25 00:02:59 | 000,000,926 | ---- | M] () -- C:\Users\Public\Desktop\Steam.lnk
[2013.07.24 23:05:53 | 000,002,517 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2013.07.24 15:24:02 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.07.24 05:22:03 | 000,002,255 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[2013.07.24 04:35:16 | 000,072,822 | ---- | M] () -- C:\Windows\SysWow64\ieuinit.inf
[2013.07.24 04:35:16 | 000,072,822 | ---- | M] () -- C:\Windows\SysNative\ieuinit.inf
[2013.07.24 03:48:50 | 000,083,672 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avnetflt.sys
[2013.07.24 03:46:27 | 000,002,066 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.07.24 03:45:30 | 000,130,016 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys
[2013.07.24 03:45:30 | 000,100,712 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2013.07.24 03:45:30 | 000,028,600 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys
[2013.07.24 03:32:52 | 000,054,699 | ---- | M] () -- C:\Windows\SysWow64\license.rtf
[2013.07.24 03:32:52 | 000,054,699 | ---- | M] () -- C:\Windows\SysNative\license.rtf
[4 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.07.25 03:18:21 | 000,000,000 | ---- | C] () -- C:\Users\Marc\defogger_reenable
[2013.07.25 02:19:28 | 000,001,005 | ---- | C] () -- C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Produktregistrierung.lnk
[2013.07.25 01:48:23 | 000,347,904 | ---- | C] () -- C:\Windows\SysNative\systemsf.ebd
[2013.07.25 01:47:13 | 000,010,429 | ---- | C] () -- C:\Windows\SysNative\ScavengeSpace.xml
[2013.07.25 01:47:07 | 000,105,559 | ---- | C] () -- C:\Windows\SysWow64\RacRules.xml
[2013.07.25 01:47:07 | 000,105,559 | ---- | C] () -- C:\Windows\SysNative\RacRules.xml
[2013.07.25 01:46:59 | 000,146,389 | ---- | C] () -- C:\Windows\SysWow64\printmanagement.msc
[2013.07.25 01:46:59 | 000,001,041 | ---- | C] () -- C:\Windows\SysWow64\tcpbidi.xml
[2013.07.25 00:43:16 | 000,000,212 | ---- | C] () -- C:\Users\Marc\Desktop\Killing Floor.url
[2013.07.25 00:10:47 | 000,000,211 | ---- | C] () -- C:\Users\Marc\Desktop\Counter-Strike Global Offensive.url
[2013.07.25 00:02:59 | 000,000,926 | ---- | C] () -- C:\Users\Public\Desktop\Steam.lnk
[2013.07.24 23:05:53 | 000,002,517 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk
[2013.07.24 15:24:02 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.07.24 05:22:03 | 000,002,255 | ---- | C] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[2013.07.24 05:21:29 | 000,001,106 | ---- | C] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.07.24 05:21:24 | 000,001,102 | ---- | C] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.07.24 04:46:12 | 000,000,003 | ---- | C] () -- C:\Windows\SysNative\drivers\MsftWdf_Kernel_01011_Inbox_Critical.Wdf
[2013.07.24 04:35:16 | 000,072,822 | ---- | C] () -- C:\Windows\SysWow64\ieuinit.inf
[2013.07.24 04:35:16 | 000,072,822 | ---- | C] () -- C:\Windows\SysNative\ieuinit.inf
[2013.07.24 04:26:52 | 000,000,003 | ---- | C] () -- C:\Windows\SysNative\drivers\MsftWdf_User_01_11_00_Inbox_Critical.Wdf
[2013.07.24 03:48:38 | 002,953,448 | ---- | C] () -- C:\Windows\SysNative\nvcoproc.bin
[2013.07.24 03:46:27 | 000,002,066 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.07.24 03:36:49 | 000,001,405 | ---- | C] () -- C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
[2013.07.24 03:36:45 | 000,001,439 | ---- | C] () -- C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
[2013.07.24 03:32:45 | 000,001,345 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
[2013.07.24 03:32:37 | 000,001,326 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
[2013.07.24 03:29:18 | 2140,495,871 | -HS- | C] () -- C:\hiberfil.sys
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 07:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2013.07.25 02:17:59 | 000,000,000 | ---D | M] -- C:\Users\Marc\AppData\Roaming\Leadertech
 
========== Purity Check ==========
 
 

< End of report >
         

OTL.extras
Code:
ATTFilter
OTL Extras logfile created on: 25.07.2013 03:25:13 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Marc\Antivirensoftware
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
7,99 Gb Total Physical Memory | 6,37 Gb Available Physical Memory | 79,68% Memory free
15,98 Gb Paging File | 14,35 Gb Available in Paging File | 89,77% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 882,68 Gb Total Space | 839,23 Gb Free Space | 95,08% Space Free | Partition Type: NTFS
Drive D: | 48,73 Gb Total Space | 48,64 Gb Free Space | 99,82% Space Free | Partition Type: NTFS
 
Computer Name: MARC-PC | User Name: Marc | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00DF18A0-5375-4E45-B421-F45612E48DD1}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{05B6031E-D6FA-43F3-BBD0-37A6DA40F4B4}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{1263F4F9-2036-453B-9041-B5F16FA287B8}" = lport=138 | protocol=17 | dir=in | app=system | 
"{135EFC73-5234-4FB2-A9BE-8E5C9C8120DD}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{245C5916-0C47-4730-8272-EF3B6AF0EFA1}" = lport=445 | protocol=6 | dir=in | app=system | 
"{2D1C7718-2902-450A-96BE-0EFCD1AABC66}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{2F8490F6-BCBA-4381-9882-1D4A369878E7}" = rport=139 | protocol=6 | dir=out | app=system | 
"{42DBDF19-8AD5-455F-BBC2-8A154956E3B4}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{48DE45D2-5B83-4AD4-AAA3-56513207AEE8}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{6DA92E7B-B52B-4990-BE26-1E09E1DD1A2A}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{83ABF845-E576-40CF-B3B9-3869F45FB4C0}" = rport=138 | protocol=17 | dir=out | app=system | 
"{86B69291-21B5-4D9B-9D82-16925F1D829B}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{936B1DEF-5C11-4C82-BDDD-EACCC2A61BCB}" = rport=445 | protocol=6 | dir=out | app=system | 
"{94136704-2DF0-4C2F-9C6B-7B9C2773D51E}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{9F576179-257D-403F-973A-8E7F2E826550}" = rport=137 | protocol=17 | dir=out | app=system | 
"{A82D819F-8F62-4F5E-B6FD-7849DF5BCA6B}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{BCA5445C-4B4E-4A6B-A1B4-D2866F00122C}" = lport=139 | protocol=6 | dir=in | app=system | 
"{BE20A055-C582-4E88-8550-A57EDA575665}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{E31C2843-5217-48D4-AEF3-6DCB24012911}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{F956AEF1-6B07-4E02-B69A-57C8476C36CD}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{F9583997-28D0-4E4C-95D7-F3390B5908F7}" = lport=137 | protocol=17 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0165C6E1-DB14-4162-9F8A-B6FFAF73C4FD}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{041FA58C-9490-4A4B-B0FA-26EBCFE0A1E5}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{0624F5DE-287D-4EF7-994C-9D2AB4F09FAE}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{356F82EE-802A-4F4E-9A95-D79EDD251CEC}" = protocol=6 | dir=in | app=c:\users\marc\zocken\steam.exe | 
"{38E500DF-661A-4074-B4FF-DF194913A985}" = protocol=17 | dir=in | app=c:\users\marc\zocken\steamapps\common\counter-strike global offensive\csgo.exe | 
"{46EE648F-B0EB-4129-BD23-3F22783BABF2}" = protocol=17 | dir=in | app=c:\users\marc\zocken\steamapps\common\killingfloor\system\killingfloor.exe | 
"{59FA781D-54C1-4943-BC87-60B64751B529}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{5CB16D2E-F960-4D0C-AAE7-488892D2A71C}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"{6226CF48-A66C-4DA1-B7E3-FA142A56A760}" = protocol=6 | dir=in | app=c:\users\marc\zocken\steamapps\common\counter-strike global offensive\csgo.exe | 
"{6274D70E-CC78-400C-9AD5-7A67938A0480}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{66BF2EBB-D28A-4174-9B1E-97213D3200A6}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{7745A0B9-A6C4-41F2-8E68-486D0A102257}" = protocol=6 | dir=out | app=system | 
"{7971E2FA-3EFD-46A4-A8C3-7DC44091D408}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{7DDE72C0-C1C7-4AF4-92E3-377945FDE2DD}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{9128A164-9A8B-40F0-9D86-49D162DE1ED7}" = protocol=6 | dir=in | app=c:\users\marc\zocken\steamapps\common\killingfloor\system\killingfloor.exe | 
"{987FE61F-1BC7-43E4-AE4B-1D54557BF7EE}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{A7A28576-370A-4D99-80B3-AACFDA5464DE}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{BA8B9030-EE20-4824-99CE-357CAF4D9A87}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{D63B6AF7-4392-40FB-B706-8237BD159C29}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{D7B55F27-EC54-4BBB-84E9-D11B59EE7701}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{E6A15BC4-5694-4051-B749-AA6568BAA02C}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{F04F3729-A87F-4956-8F4D-473A351EA486}" = protocol=17 | dir=in | app=c:\users\marc\zocken\steam.exe | 
"{F39DBA36-1162-4367-A5CA-029F35F16816}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{F5B87CFF-269C-491F-8EA4-A9F003AAF205}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{F6C6A3B7-A853-420C-B0DB-8456573A5B9D}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{FFEE3DE8-34D7-47BC-8054-0C88684A8849}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{690285C2-2481-44FB-8402-162EA970A6DD}" = Logitech Gaming Software
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 311.06
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 311.06
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 311.06
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.11.3
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver" = NVIDIA HD-Audiotreiber 1.3.18.0
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Logitech Gaming Software" = Logitech Gaming Software 8.46
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.6
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"Avira AntiVir Desktop" = Avira Free Antivirus
"Google Chrome" = Google Chrome
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.75.0.1300
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.5.0
"Steam App 1250" = Killing Floor
"Steam App 730" = Counter-Strike: Global Offensive
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 23.07.2013 23:14:46 | Computer Name = Marc-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: nvSCPAPISvr.exe, Version: 7.17.13.1106,
 Zeitstempel: 0x50f9536b  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x73c36a64  ID des fehlerhaften
 Prozesses: 0x314  Startzeit der fehlerhaften Anwendung: 0x01ce881ba64db621  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
Pfad
 des fehlerhaften Moduls: unknown  Berichtskennung: 30b2baf6-f40f-11e2-bfa9-002421eeced5
 
Error - 23.07.2013 23:14:51 | Computer Name = Marc-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: avguard.exe, Version: 13.6.0.1550,
 Zeitstempel: 0x519ceb41  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x73c36a64  ID des fehlerhaften
 Prozesses: 0x998  Startzeit der fehlerhaften Anwendung: 0x01ce881bf60bcf4e  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
Pfad
 des fehlerhaften Moduls: unknown  Berichtskennung: 33bd1cef-f40f-11e2-bfa9-002421eeced5
 
Error - 24.07.2013 20:56:54 | Computer Name = Marc-PC | Source = VSS | ID = 12305
Description = 
 
Error - 24.07.2013 21:14:40 | Computer Name = Marc-PC | Source = ESENT | ID = 215
Description = WinMail (1760) WindowsMail0: Die Sicherung wurde abgebrochen, weil
 sie vom Client angehalten wurde, oder weil die Verbindung mit dem Client unterbrochen
 wurde.
 
Error - 24.07.2013 21:14:45 | Computer Name = Marc-PC | Source = ESENT | ID = 215
Description = WinMail (2472) WindowsMail0: Die Sicherung wurde abgebrochen, weil
 sie vom Client angehalten wurde, oder weil die Verbindung mit dem Client unterbrochen
 wurde.
 
[ System Events ]
Error - 24.07.2013 19:12:16 | Computer Name = Marc-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MEMSWEEP2" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%1275
 
Error - 24.07.2013 19:12:39 | Computer Name = Marc-PC | Source = Application Popup | ID = 1060
Description = Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Windows\system32\2B08.tmp
 nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version
 des Treibers zu erhalten.
 
Error - 24.07.2013 19:12:39 | Computer Name = Marc-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MEMSWEEP2" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%1275
 
Error - 24.07.2013 19:12:58 | Computer Name = Marc-PC | Source = Application Popup | ID = 1060
Description = Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Windows\system32\CF14.tmp
 nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version
 des Treibers zu erhalten.
 
Error - 24.07.2013 19:12:58 | Computer Name = Marc-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MEMSWEEP2" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%1275
 
Error - 24.07.2013 19:19:36 | Computer Name = Marc-PC | Source = Application Popup | ID = 1060
Description = Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Windows\system32\CF14.tmp
 nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version
 des Treibers zu erhalten.
 
Error - 24.07.2013 19:19:36 | Computer Name = Marc-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MEMSWEEP2" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%1275
 
Error - 24.07.2013 19:19:36 | Computer Name = Marc-PC | Source = Application Popup | ID = 1060
Description = Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Windows\system32\CF14.tmp
 nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version
 des Treibers zu erhalten.
 
Error - 24.07.2013 19:19:36 | Computer Name = Marc-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MEMSWEEP2" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%1275
 
Error - 24.07.2013 21:16:09 | Computer Name = Marc-PC | Source = DCOM | ID = 10016
Description = 
 
 
< End of report >
         

GMER
Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-07-25 03:49:52
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP5T0L0-5 SAMSUNG_HD103SJ rev.1AJ100E4 931,51GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\Marc\AppData\Local\Temp\kxldypog.sys


---- User code sections - GMER 2.1 ----

.text   C:\Program Files\Logitech Gaming Software\Applets\LCDMedia.exe[3800] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69             00000000770f1465 2 bytes [0F, 77]
.text   C:\Program Files\Logitech Gaming Software\Applets\LCDMedia.exe[3800] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155            00000000770f14bb 2 bytes [0F, 77]
.text   ...                                                                                                                                      * 2
.text   C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[1684] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   00000000770f1465 2 bytes [0F, 77]
.text   C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[1684] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000770f14bb 2 bytes [0F, 77]
.text   ...                                                                                                                                      * 2

---- Threads - GMER 2.1 ----

Thread  C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2164:2312]                                                                   0000000076847587
Thread  C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2164:1108]                                                                   000000006b8f0cb3
Thread  C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2164:3296]                                                                   0000000077172e25
Thread  C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2164:4020]                                                                   0000000077173e45
Thread  C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2164:2768]                                                                   0000000077173e45
Thread  C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2164:1028]                                                                   0000000077173e45

---- Files - GMER 2.1 ----

File    C:\Users\Marc\AppData\Local\Temp\tmp224E.tmp                                                                                             0 bytes

---- EOF - GMER 2.1 ----
         


Alt 25.07.2013, 03:52   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Standard

BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?



Zitat:
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Warum hast du eine Professional-Edition von Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?
__________________
--> BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?

Alt 25.07.2013, 14:40   #7
LinksBlinker
 
BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Standard

BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?



Das ist mein erster eigener Computer, als ich ihn mir damals zusammengestellt hab, entschied ich mich für Professional, weil ich gelesen hab, das ein kompletter XP-Modus intergriert ist. Da ich Spiele sammle, dachte ich, das ich somit auch PC-Spiele spielen kann, die nur bis XP funktionierten.
Das ist ein reiner Privatcomputer.

Alt 25.07.2013, 16:54   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Standard

BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?



Ok, danke für die Erklärung
Log ist soweit unauffällig, noch Probleme oder Fragen offen?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.07.2013, 18:06   #9
LinksBlinker
 
BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Standard

BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?



Kein Problem

Ok Danke. Wegen des komischen Temp Ordners den GMER anzeigt, habe ich mich selber hier im Forum schlau gemacht. Das ist ja einfach nur ein leerer Ordner, der von Windows selbst erstellt wird, wo dann Windows von seinem eigenen Programm Windows Live Mail bei jedem Login was reinspeichert. Also nichts gefährliches

Dann kann das hier geclosed werden. Vielen Dank für alles

Antwort

Themen zu BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?
64 bit, aufgesetzt, avira, bka-trojaner, durchsucht, einsetzen, entfern, entfernt, entfernt?, formatiert, frage, malewarebytes, malewarescan, neu, neuaufsetzung, partionen, sauberes, setzen, system, windows, windows 7, windows 7 64 bit, wirklich, wirklich entfernt?, überschrieben




Ähnliche Themen: BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?


  1. AVG wirklich Trojaner entfernt (WIRKLICH DRINGEND!)
    Plagegeister aller Art und deren Bekämpfung - 16.01.2015 (19)
  2. Wirklich alle Trojaner vom PC entfernt?
    Plagegeister aller Art und deren Bekämpfung - 26.09.2013 (15)
  3. System Care Antivirus wirklich komplett entfernt?
    Log-Analyse und Auswertung - 06.07.2013 (9)
  4. System nach Rootkit Befall repariert - große Unsicherheit ob wirklich clean
    Log-Analyse und Auswertung - 22.03.2013 (2)
  5. Bundespolizei Virus / Trojaner vom 11.8. wirklich durch Systemwiederherstellung entfernt?
    Log-Analyse und Auswertung - 22.08.2012 (19)
  6. GVU Trojaner mit Webcam, CHIP.de Anweisung befolgt -> wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (19)
  7. Live Security Platinum nach System-Neuinstallation wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (1)
  8. System Check Virus, habe ich ihn wirklich entfernt?
    Log-Analyse und Auswertung - 21.03.2012 (1)
  9. Trojaner "System Repair" in Windows Vista wirklich entfernt?
    Log-Analyse und Auswertung - 18.12.2011 (82)
  10. System Fix, wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2011 (19)
  11. Backdoor.papras + verschiedene Trojaner entdeckt - MBAM hat entfernt - geht es ohne Neuaufsetzung?
    Log-Analyse und Auswertung - 12.10.2011 (30)
  12. Wurde der Trojaner & das Virus wirklich entfernt?
    Log-Analyse und Auswertung - 09.06.2011 (5)
  13. Möglicher Trojaner/Backdoor-Befall nach Neuaufsetzung!
    Log-Analyse und Auswertung - 02.01.2010 (2)
  14. System Probleme nach Trojaner/ Trojaner wirklich besiegt?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2009 (3)
  15. Viren/Trojaner nach Neuaufsetzung des Systems
    Plagegeister aller Art und deren Bekämpfung - 29.01.2009 (2)
  16. Internet nach Virenbefall trotz Neuaufsetzung des System sehr langsam
    Plagegeister aller Art und deren Bekämpfung - 14.12.2008 (0)
  17. Nach Neuaufsetzung wieder Trojaner Fund!Bitte mal Logfile anschauen.
    Log-Analyse und Auswertung - 01.08.2007 (3)

Zum Thema BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? - Hallo, ich hatte mir den BKA-Trojaner eingefangen. Daraufhin, habe ich mein Windows 7 64 bit neu aufgesetzt, dabei den MBR überschrieben, alle Partionen formatiert und gelöscht. Nun ist meine Frage, - BKA-Trojaner nach System Neuaufsetzung wirklich entfernt?...
Archiv
Du betrachtest: BKA-Trojaner nach System Neuaufsetzung wirklich entfernt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.