| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Login und Zertrifikat Speicher manipuliert. Interrupts belegen 50% Prozessorleistung. Viele Funde z.b TR/Downloader.Gen2 oder TR/Gendal.60Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.08.2013, 09:38
| #1 |
 |  Login und Zertrifikat Speicher manipuliert. Interrupts belegen 50% Prozessorleistung. Viele Funde z.b TR/Downloader.Gen2 oder TR/Gendal.60 Hallo, hoffenlich findet sich jemand der mir Helfen kann, Wäre echt sehr Nett. Folgende Funde sind im Zeitraum 17.7 - 21.7 aufgetauchtund und hat einige schwerwiegende Effekte/Veränderungen am System mitsichgebracht. In dieser Reihenfolge sind die Funde aufgetaucht. Code:
ATTFilter Fund: 'TR/Downloader.Gen2' [trojan]' in 'C:\Programme\WebCake\OptChrome.exe'
Fund: 'ADWARE/Agent.635596.1'' in C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Temp\nsw196.tmp\107\PricePeep_4302013.exe'
Fund: ‘APPL/CoolMirage.kas' [program]' In der Datei 'C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Temp\0SZsYCFx.exe.part'
Fund: ‘APPL/CoolMirage.kas' in 'C:\RECYCLER\S-1-5-21-1644491937-1801674531-741987641-1004\Dc12696.part'
Fund: 'ADWARE/Agent.aece.53' [adware]
in 'C:\RECYCLER\S-1-5-21-1644491937-1801674531-741987641-1004\Dc12716.part
5 Tage später dann diese Funde: Code:
ATTFilter 'BDS/Poison.bwqs' [backdoor] in der Datei 'C:\Dokumente und Einstellungen\Neuro\Desktop\iTunes\Virtual\STUBEXE\8.0.1135\@PROGRAMFILES@\Bonjour\mDNSResponder.exe'
Fund: ‘TR/Gendal.6052714' [trojan] in 'C:\Dokumente und Einstellungen\Neuro\Desktop\iTunes\Virtual\STUBEXE\8.0.1135\@PROGRAMFILES@\iPod\bin\iPodService.exe'
Fund: ‘ADWARE/WebCake.A' [adware] in 'C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Temp\4FE1A94E\wc.exe'
Fund: 'ADWARE/WebCake.A' [adware] in 'C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7AXXIPHA\WebCakesetup[1].exe'
Am 21.7 lud ich mir HijackThis runter vergaß es aber zuvor umzubenennen. Noch bevor die Datei auf der Platte war flimmerte kurz der Bildschirm dann Fund: 'TR/Crypt.ULPM.Gen' [trojan]' in C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Downloads\HijackThis.exe.part' In meiner Verzweiflung folgte ich den Schritten einer ähnlichen Infektion, leider wusste ich da noch nicht das das keine gute Idee ist. Jetzt erstmal die logs von OTL und ‘GMER danach erzähle ich von den aufgetretenen Effekten bzw. Veränderungen. Dann poste ich die logs von vergangenem Versuch. OTL Logfile: Code:
ATTFilter OTL logfile created on: 01.08.2013 00:17:09 - Run 2 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Neuro\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,97 Gb Total Physical Memory | 1,55 Gb Available Physical Memory | 78,89% Memory free 3,82 Gb Paging File | 3,50 Gb Available in Paging File | 91,68% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,52 Gb Total Space | 43,78 Gb Free Space | 58,74% Space Free | Partition Type: NTFS Computer Name: BAM | User Name: Neuro | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.07.30 12:32:31 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Neuro\Desktop\OTL.exe PRC - [2013.06.24 11:22:05 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2013.06.24 11:21:57 | 000,076,856 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2013.06.24 11:21:56 | 000,345,144 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2013.06.24 11:21:56 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2010.11.11 20:00:58 | 000,525,112 | ---- | M] (Apple Inc.) -- C:\Programme\Boot Camp\Bootcamp.exe PRC - [2010.03.10 15:26:48 | 000,189,728 | ---- | M] (Protexis Inc.) -- c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2004.05.02 19:02:51 | 000,062,464 | ---- | M] (Elias Fotinis) -- C:\Programme\deskpin\DeskPins.exe ========== Modules (No Company Name) ========== MOD - [2013.02.22 05:02:57 | 000,397,704 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ========== Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) SRV - [2013.06.24 11:22:05 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2013.06.24 11:21:56 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2013.06.18 16:21:21 | 000,117,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2013.04.04 14:50:32 | 000,701,512 | ---- | M] (Malwarebytes Corporation) [On_Demand | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2013.04.04 14:50:32 | 000,418,376 | ---- | M] (Malwarebytes Corporation) [Disabled | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) SRV - [2013.03.01 03:48:58 | 000,118,520 | ---- | M] (Riverbed Technology, Inc.) [On_Demand | Stopped] -- C:\Programme\WinPcap\rpcapd.exe -- (rpcapd) SRV - [2012.12.07 15:16:00 | 000,202,328 | ---- | M] (Kaspersky Lab ZAO) [Disabled | Stopped] -- C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe -- (KSS) SRV - [2012.01.18 08:44:52 | 000,450,848 | ---- | M] (Logitech Inc.) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe -- (UMVPFSrv) SRV - [2010.11.11 20:00:58 | 000,193,848 | ---- | M] () [Disabled | Stopped] -- C:\WINDOWS\system32\AppleOSSMgr.exe -- (AppleOSSMgr) SRV - [2010.05.14 11:13:50 | 000,364,544 | ---- | M] (Marvell) [Auto | Running] -- C:\WINDOWS\system32\yk51x86.dll -- (yksvc) SRV - [2010.04.16 18:13:34 | 000,099,640 | ---- | M] (Apple Inc.) [Disabled | Stopped] -- C:\WINDOWS\system32\AppleTimeSrv.exe -- (AppleTimeSrv) SRV - [2010.03.10 15:26:48 | 000,189,728 | ---- | M] (Protexis Inc.) [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ircomm2k.sys -- (IrCOMM2k) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | Disabled | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - [2013.07.28 02:37:31 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - [2013.07.25 02:06:42 | 000,231,760 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\truecrypt.sys -- (truecrypt) DRV - [2013.07.12 12:52:05 | 000,152,576 | ---- | M] (SysProgs.org) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BazisPortableCDBus.sys -- (BazisPortableCDBus) DRV - [2013.07.11 13:10:43 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) DRV - [2013.07.01 10:25:04 | 000,015,576 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\pwdrvio.sys -- (pwdrvio) DRV - [2013.07.01 10:25:02 | 000,010,200 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\pwdspio.sys -- (pwdspio) DRV - [2013.05.02 06:23:50 | 000,181,912 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssudobex.sys -- (ssudobex) DRV - [2013.05.02 06:23:50 | 000,181,912 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssudmdm.sys -- (ssudmdm) DRV - [2013.05.02 06:23:50 | 000,083,864 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssudbus.sys -- (dg_ssudbus) DRV - [2013.04.18 19:06:08 | 000,020,032 | ---- | M] (Devguru Co., Ltd) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\dgderdrv.sys -- (dgderdrv) DRV - [2013.04.04 14:50:32 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2013.03.28 09:09:49 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2013.03.28 09:09:49 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2013.03.28 09:09:49 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2013.03.01 03:48:42 | 000,036,600 | ---- | M] (Riverbed Technology, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF) DRV - [2013.02.22 05:03:04 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2012.01.18 08:44:52 | 004,332,960 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) DRV - [2012.01.18 08:44:28 | 000,312,096 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS) DRV - [2011.08.17 09:56:26 | 000,023,168 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - [2011.08.17 09:56:22 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd) DRV - [2011.06.02 10:08:34 | 000,011,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\SystemRequirementsLab\cpudrv.sys -- (cpudrv) DRV - [2010.11.11 20:00:58 | 000,049,280 | ---- | M] (Apple Inc.) [File_System | Boot | Running] -- C:\WINDOWS\System32\drivers\AppleHFS.sys -- (AppleHFS) DRV - [2010.11.11 20:00:58 | 000,006,784 | ---- | M] (Apple Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\AppleMNT.sys -- (AppleMNT) DRV - [2010.11.11 20:00:58 | 000,006,528 | ---- | M] (Apple Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\KeyAgent.sys -- (KeyAgent) DRV - [2010.05.14 11:13:50 | 000,298,752 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp) DRV - [2010.05.14 11:13:50 | 000,065,824 | ---- | M] (Marvell) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\yk51x86l.sys -- (SkLaggProtocol) DRV - [2010.05.14 11:13:50 | 000,020,992 | ---- | M] (Marvell) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\yk51x86v.sys -- (SkVlanProtocol) DRV - [2010.05.14 11:13:50 | 000,020,992 | ---- | M] (Marvell) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\yk51x86v.sys -- (SkVlanMiniport) DRV - [2010.04.16 15:36:44 | 001,590,528 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416) DRV - [2010.04.16 15:36:18 | 000,012,928 | ---- | M] (Apple Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\MacHALDriver.sys -- (MacHALDriver) DRV - [2010.01.10 18:26:33 | 000,016,512 | ---- | M] (Apple Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\IRFilter.sys -- (IRRemoteFlt) DRV - [2010.01.10 18:26:19 | 000,009,088 | ---- | M] (Apple Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\applebt.sys -- (applebt) DRV - [2010.01.10 18:26:15 | 000,007,424 | ---- | M] (Apple Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BthKicker.sys -- (BthKicker) DRV - [2008.04.17 01:34:04 | 000,120,472 | ---- | M] (High Criteria inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TotRec7.sys -- (TotRec7) DRV - [2008.04.14 00:16:10 | 000,049,024 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mstape.sys -- (MSTAPE) DRV - [2008.04.14 00:16:08 | 000,013,696 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avcstrm.sys -- (AVCSTRM) DRV - [2006.11.02 07:00:08 | 000,039,368 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\winusb.sys -- (WinUSB) DRV - [2005.11.16 15:36:00 | 001,047,816 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKLM\..\SearchScopes,DefaultScope = IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\..\SearchScopes\{78C94629-E016-4345-BC9D-745824E104E7}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..extensions.enabledAddons: %7Bc45c406e-ab73-11d8-be73-000a95be3b12%7D:1.2.5 FF - prefs.js..extensions.enabledAddons: translator%40zoli.bod:2.1.0.3 FF - prefs.js..extensions.enabledAddons: CertPatrol%40PSYC.EU:2.0.14 FF - prefs.js..extensions.enabledAddons: %7Be4a8a97b-f2ed-450b-b12d-ee082ba24781%7D:1.10 FF - prefs.js..extensions.enabledAddons: %7Bdc572301-7619-498c-a57d-39143191b318%7D:0.4.1.0 FF - prefs.js..extensions.enabledAddons: %7Bd40f5e7b-d2cf-4856-b441-cc613eeffbe3%7D:1.68 FF - prefs.js..extensions.enabledAddons: %7Bcd617375-6743-4ee8-bac4-fbf10f35729e%7D:2.9.4 FF - prefs.js..extensions.enabledAddons: %7Bc71ff04d-f001-1fc1-1fc1-c71ff04df005%7D:0.33 FF - prefs.js..extensions.enabledAddons: %7B46551EC9-40F0-4e47-8E18-8E5CF550CFB8%7D:1.3.2 FF - prefs.js..extensions.enabledAddons: simpletimer%40grbradt.org:1.13 FF - prefs.js..extensions.enabledAddons: %7B77b819fa-95ad-4f2c-ac7c-486b356188a9%7D:4.0.20130422 FF - prefs.js..extensions.enabledAddons: %7B0b457cAA-602d-484a-8fe7-c1d894a011ba%7D:0.98.38 FF - prefs.js..extensions.enabledAddons: donottrackplus%40abine.com:2.2.9.618 FF - prefs.js..extensions.enabledAddons: groovesharkUnlocker%40overlord1337:1.3.5 FF - prefs.js..extensions.enabledAddons: %7B73a6fe31-595d-460b-a920-fcc0f8843232%7D:2.6.6.9 FF - prefs.js..extensions.enabledAddons: ich%40maltegoetz.de:1.5.2 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:22.0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.25.2: C:\WINDOWS\system32\npDeployJava1.dll File not found FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.25.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.149\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.149\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.7: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.135\npGoogleUpdate3.dll File not found FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.135\npGoogleUpdate3.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 22.0\extensions\\Components: C:\Programme\Mozilla Firefox\components FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 22.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.06.12 21:47:31 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Extensions [2013.07.31 21:54:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions [2013.07.19 22:53:18 | 000,000,000 | ---D | M] (FireShot) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba} [2013.07.19 22:53:17 | 000,000,000 | ---D | M] (IE Tab) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9} [2013.07.19 22:53:18 | 000,000,000 | ---D | M] (DoNotTrackMe) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\donottrackplus@abine.com [2013.07.27 00:11:04 | 000,000,000 | ---D | M] (Grooveshark Proxy) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\groovesharkProxy@DannieDarko [2013.07.31 21:54:54 | 000,000,000 | ---D | M] (ProxTube - Unblock YouTube) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\ich@maltegoetz.de [2013.07.11 13:28:29 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions [2013.07.01 01:17:38 | 000,000,000 | ---D | M] (Cookie Monster) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{45d8ff86-d909-11db-9705-005056c00008} [2013.07.01 02:07:24 | 000,000,000 | ---D | M] (HTTPS-Everywhere) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\https-everywhere@eff.org [2013.07.08 14:18:27 | 000,074,643 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\CertPatrol@PSYC.EU.xpi [2013.07.08 14:04:18 | 002,168,615 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\firebug@software.joehewitt.com.xpi [2013.07.22 18:38:40 | 000,050,777 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\groovesharkUnlocker@overlord1337.xpi [2013.07.15 11:05:29 | 000,156,725 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\simpletimer@grbradt.org.xpi [2013.07.08 14:18:27 | 000,060,290 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\translator@zoli.bod.xpi [2013.07.15 11:05:28 | 000,282,569 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi [2013.07.30 15:10:02 | 000,534,063 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2013.07.08 14:18:27 | 001,360,435 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}.xpi [2013.07.15 11:05:24 | 000,047,234 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{c71ff04d-f001-1fc1-1fc1-c71ff04df005}.xpi [2013.07.15 11:05:24 | 000,065,551 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{cd617375-6743-4ee8-bac4-fbf10f35729e}.xpi [2013.07.25 16:54:00 | 000,824,431 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013.07.15 11:05:24 | 000,138,614 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}.xpi [2013.07.15 11:05:24 | 000,765,412 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi [2013.07.15 11:05:24 | 000,275,262 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\ix20r656.default-1373283053287\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi [2013.07.01 20:02:03 | 000,050,424 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\groovesharkUnlocker@overlord1337.xpi [2013.05.15 11:11:48 | 000,142,907 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\unplug@compunach.xpi [2013.06.26 07:17:52 | 000,718,373 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{437be45a-4114-11dd-b9ab-71d256d89593}.xpi [2013.06.25 16:15:42 | 000,534,298 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2013.05.15 11:11:48 | 000,870,680 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013.06.25 18:20:36 | 000,048,921 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{fa8476cf-a98c-4e08-99b4-65a69cb4b7d4}.xpi [2013.07.01 01:58:48 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\extensions [2013.07.01 01:58:48 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [2013.05.31 19:44:42 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\distribution\extensions ========== Chrome ========== CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter} CHR - plugin: iTunes Application Detector (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll CHR - Extension: Inkscape on rollApp = C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\icjinnaagdniegmfejingjjhljhmkopj\1.1_0\ O1 HOSTS File: ([2013.07.30 10:39:48 | 000,000,056 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) O4 - HKLM..\Run: [Apple_KbdMgr] C:\Programme\Boot Camp\Bootcamp.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - Startup: C:\Dokumente und Einstellungen\Neuro\Startmenü\Programme\Autostart\DeskPins.lnk = C:\Programme\deskpin\DeskPins.exe (Elias Fotinis) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoComputersNearMe = 01 00 00 00 [binary data] O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1361515869687 (WUWebControl Class) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1361534062765 (MUWebControl Class) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{208FB776-C149-4C2C-88D2-72BA37F2FCAE}: NameServer = 192.168.0.1,192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{53B26EF4-1355-4565-B90A-32A326A0C4C2}: DhcpNameServer = 192.168.0.1 O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O27 - HKLM IFEO\taskmgr.exe: Debugger - C:\PROGRAMME\SYSINTERNALSSUITE\PROCEXP.EXE (Sysinternals - www.sysinternals.com) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2013.02.19 03:49:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.07.31 20:50:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Downloads [2013.07.31 15:03:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\AMPSoft [2013.07.31 12:40:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Desktop\BEispielLayout [2013.07.30 12:32:30 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Neuro\Desktop\OTL.exe [2013.07.30 12:06:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch [2013.07.30 11:41:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\EHome [2013.07.30 05:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Powertoys for Windows XP [2013.07.28 15:25:56 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\S-1-5-21-1644491937-1801674531-741987641-1004 [2013.07.28 14:34:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Desktop\JAP [2013.07.27 21:19:31 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2013.07.27 18:27:15 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Neuro\Recent [2013.07.27 15:49:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Startmenü\Programme\Kaspersky Security Scan [2013.07.27 15:47:54 | 000,000,000 | ---D | C] -- C:\Programme\Kaspersky Lab [2013.07.27 15:47:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab [2013.07.27 14:32:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner [2013.07.27 14:32:39 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2013.07.27 12:15:30 | 000,000,000 | ---D | C] -- C:\VC_RED [2013.07.27 12:14:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\CrashDump [2013.07.26 08:24:41 | 000,000,000 | ---D | C] -- C:\Programme\SysinternalsSuite [2013.07.25 20:12:49 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2013.07.25 19:25:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp [2013.07.25 18:11:11 | 000,000,000 | RHSD | C] -- C:\cmdcons [2013.07.25 18:08:49 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2013.07.25 18:08:48 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2013.07.25 18:08:48 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2013.07.25 18:08:48 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2013.07.25 17:52:12 | 000,000,000 | ---D | C] -- C:\Qoobox [2013.07.25 17:51:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt [2013.07.25 08:07:42 | 005,093,969 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Neuro\Desktop\ComboFix.exe [2013.07.25 02:07:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\TrueCrypt [2013.07.25 02:06:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TrueCrypt [2013.07.25 02:06:42 | 000,231,760 | ---- | C] (TrueCrypt Foundation) -- C:\WINDOWS\System32\drivers\truecrypt.sys [2013.07.25 02:06:41 | 000,000,000 | ---D | C] -- C:\Programme\TrueCrypt [2013.07.24 12:57:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERUNT [2013.07.24 05:49:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bitstream [2013.07.24 02:28:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Startmenü\Programme\DeskPins [2013.07.24 02:26:47 | 000,000,000 | ---D | C] -- C:\Programme\deskpin [2013.07.23 20:29:35 | 000,560,934 | ---- | C] (Oleg N. Scherbakov) -- C:\Dokumente und Einstellungen\Neuro\Desktop\JRT.exe [2013.07.23 06:54:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\SelfMV [2013.07.22 23:19:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\RooterCFG'S [2013.07.22 17:37:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Logs [2013.07.22 00:24:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Malwarebytes [2013.07.22 00:24:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2013.07.22 00:24:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2013.07.22 00:24:43 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2013.07.22 00:24:42 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2013.07.19 22:59:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\FireShot [2013.07.19 22:59:29 | 000,000,000 | ---D | C] -- C:\Program Files [2013.07.19 22:59:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes [2013.07.19 22:57:22 | 000,000,000 | ---D | C] -- C:\Programme\Xenocode [2013.07.19 22:55:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\Apple [2013.07.19 22:54:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MRT [2013.07.19 22:53:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\Sun [2013.07.19 22:53:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Desktop\checksums [2013.07.19 22:53:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\corz [2013.07.19 22:52:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Resource Kit Tools [2013.07.19 21:16:32 | 008,101,951 | ---- | C] (IDT, Inc.) -- C:\WINDOWS\System32\idtsg.cpl [2013.07.19 21:16:32 | 002,469,888 | ---- | C] (IDT, Inc.) -- C:\WINDOWS\System32\stlang.dll [2013.07.19 21:16:32 | 000,221,239 | ---- | C] (IDT, Inc.) -- C:\WINDOWS\System32\stacsv.exe [2013.07.18 06:44:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\.shsh [2013.07.18 05:39:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\Apple Computer [2013.07.18 05:39:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Apple Computer [2013.07.18 02:14:00 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update [2013.07.18 02:12:03 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour [2013.07.15 16:14:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\VCards [2013.07.15 08:53:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Sandboxi [2013.07.15 07:21:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Startmenü\Programme\corz [2013.07.15 07:21:35 | 000,000,000 | ---D | C] -- C:\Programme\filechecksum [2013.07.15 07:21:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\corz [2013.07.15 06:22:04 | 000,000,000 | ---D | C] -- C:\Programme\Java [2013.07.15 06:14:48 | 000,000,000 | ---D | C] -- C:\Programme\Windows Resource Kits [2013.07.13 23:42:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\Samsung [2013.07.13 13:40:54 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Neuro\IECompatCache [2013.07.13 08:33:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\TortoiseHg [2013.07.13 08:32:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TortoiseHg [2013.07.13 08:32:27 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\TortoiseOverlays [2013.07.13 08:32:24 | 000,000,000 | ---D | C] -- C:\Programme\TortoiseHg [2013.07.13 05:36:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\Adobe [2013.07.12 12:56:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alien Skin [2013.07.11 13:09:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Active@ ISO Burner [2013.07.11 13:09:07 | 000,000,000 | ---D | C] -- C:\Programme\Active ISO Burner [2013.07.11 12:48:38 | 000,152,576 | ---- | C] (SysProgs.org) -- C:\WINDOWS\System32\drivers\BazisPortableCDBus.sys [2013.07.11 12:48:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Virtual Drive 9 [2013.07.11 12:48:14 | 000,000,000 | ---D | C] -- C:\Programme\Virtual Drive 9 [2013.07.11 12:31:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\TotalRecorder [2013.07.11 12:30:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Total Recorder [2013.07.11 12:30:14 | 000,120,472 | ---- | C] (High Criteria inc.) -- C:\WINDOWS\System32\drivers\TotRec7.sys [2013.07.11 12:30:14 | 000,106,496 | ---- | C] (High Criteria inc.) -- C:\WINDOWS\System32\DrvTrNTl.dll [2013.07.11 12:30:14 | 000,059,032 | ---- | C] (High Criteria inc.) -- C:\WINDOWS\System32\DrvTrNTm.dll [2013.07.11 12:30:14 | 000,000,000 | ---D | C] -- C:\Programme\HighCriteria [2013.07.08 23:20:24 | 001,034,464 | ---- | C] (Solid State Networks) -- C:\Dokumente und Einstellungen\Neuro\Desktop\install_flashplayer11x32_mssd_aaa_aih.exe [2013.07.07 19:19:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Wireshark [2013.07.05 16:53:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\webcamXP 5 [2013.07.05 16:53:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\webcamXP 5 [2013.07.05 16:52:50 | 000,000,000 | ---D | C] -- C:\Programme\wLite [2013.07.05 16:25:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\CERTDB [2013.07.05 13:09:27 | 000,000,000 | ---D | C] -- C:\Programme\Alien Skin [2013.07.05 09:53:20 | 000,000,000 | ---D | C] -- C:\temp [2013.07.04 03:01:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Wireshark [2013.07.03 18:57:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Google [2013.07.03 17:25:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth [2013.07.03 07:19:13 | 000,000,000 | ---D | C] -- C:\Programme\AMP Font Viewer [2013.07.03 07:19:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Startmenü\Programme\AMP Font Viewer [2013.07.03 07:19:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AMP Font Viewer [2013.07.03 04:20:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Startmenü\Programme\Notepad++ [2013.07.03 04:20:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Notepad++ [2013.07.03 03:34:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\MiniTool Partition Wizard Home Edition 8.0 [2013.07.03 03:34:35 | 000,000,000 | ---D | C] -- C:\Programme\MiniTool Partition Wizard Home Edition 8.0 [2013.07.03 03:20:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Debugging Tools for Windows (x86) [2013.07.03 03:19:56 | 000,000,000 | ---D | C] -- C:\Programme\Debugging Tools for Windows (x86) [2013.07.03 02:56:55 | 000,000,000 | ---D | C] -- C:\Programme\MarkAny [2013.07.03 02:37:23 | 000,181,912 | ---- | C] (DEVGURU Co., LTD.(www.devguru.co.kr)) -- C:\WINDOWS\System32\drivers\ssudobex.sys [2013.07.03 02:37:22 | 000,181,912 | ---- | C] (DEVGURU Co., LTD.(www.devguru.co.kr)) -- C:\WINDOWS\System32\drivers\ssudmdm.sys [2013.07.03 02:37:22 | 000,083,864 | ---- | C] (DEVGURU Co., LTD.(www.devguru.co.kr)) -- C:\WINDOWS\System32\drivers\ssudbus.sys [2013.07.02 21:13:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\Audible [2013.07.02 21:13:51 | 000,255,352 | ---- | C] (Audible, Inc.) -- C:\WINDOWS\System32\awrdscdc.ax [2013.07.02 21:13:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AudibleManager [2013.07.02 21:13:36 | 000,000,000 | ---D | C] -- C:\Programme\Audible [2013.07.02 21:13:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Audible [2013.07.02 21:13:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Audible [2013.07.02 16:21:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Log Parser 2.2 [2013.07.02 16:21:16 | 000,000,000 | ---D | C] -- C:\Programme\Log Parser 2.2 [2013.07.02 03:40:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Samsung [2013.07.02 03:40:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Samsung [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.08.01 00:10:36 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.08.01 00:10:15 | 2114,330,624 | -HS- | M] () -- C:\hiberfil.sys [2013.07.31 23:57:53 | 000,000,328 | RHS- | M] () -- C:\boot.ini [2013.07.30 21:44:37 | 000,229,382 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\sysdata.xml [2013.07.30 21:38:25 | 000,098,304 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Mini073013-01.dmp [2013.07.30 21:28:34 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.07.30 21:21:05 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\defogger_reenable [2013.07.30 16:59:08 | 000,348,360 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\fresseback.png [2013.07.30 16:21:24 | 000,027,329 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\zertrifikatspeicher.png [2013.07.30 12:33:19 | 000,377,856 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\gmer_2.1.19163.exe [2013.07.30 12:32:31 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Neuro\Desktop\OTL.exe [2013.07.30 12:30:44 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Defogger.exe [2013.07.30 12:12:56 | 000,517,208 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2013.07.30 12:12:56 | 000,493,882 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2013.07.30 12:12:56 | 000,101,362 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2013.07.30 12:12:56 | 000,084,426 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2013.07.30 10:39:48 | 000,000,056 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2013.07.30 10:39:48 | 000,000,055 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.umbrella [2013.07.30 02:45:31 | 000,000,332 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\persitendConnections.reg [2013.07.30 00:17:56 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\lvuvc.hs [2013.07.29 21:02:18 | 025,183,736 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Untitled.2avi.avi [2013.07.29 21:01:08 | 025,183,736 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Untitled.avi [2013.07.29 19:19:30 | 000,000,009 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\.bash_history [2013.07.29 04:56:39 | 000,000,850 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Baseline Security Analyzer 2.2.lnk [2013.07.28 23:28:20 | 000,000,716 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit migwiza.lnk [2013.07.28 23:28:18 | 000,000,716 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit migload.lnk [2013.07.28 23:28:02 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit migwiz.lnk [2013.07.28 19:43:06 | 002,485,381 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\2013-07-28 17.24.04.jpg [2013.07.28 19:42:48 | 002,419,151 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\2013-07-28 17.36.13.jpg [2013.07.28 19:42:44 | 002,220,761 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\2013-07-28 17.32.52.jpg [2013.07.28 19:42:15 | 001,754,965 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\2013-07-28 17.24.09.jpg [2013.07.28 02:37:31 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2013.07.27 19:30:43 | 000,207,304 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2013.07.27 16:19:10 | 000,000,992 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\swedisch.p7b [2013.07.27 15:59:15 | 000,172,558 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\cc_20130727_155858.reg [2013.07.27 15:49:13 | 000,000,802 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Kaspersky Security Scan.lnk [2013.07.27 14:32:43 | 000,000,662 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk [2013.07.27 13:30:22 | 000,000,181 | ---- | M] () -- C:\WINDOWS\System32\deployJava1.hash [2013.07.27 12:56:53 | 000,009,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2013.07.27 12:13:40 | 000,114,458 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\krasomatiko.jpg [2013.07.25 19:12:34 | 005,093,969 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Neuro\Desktop\ComboFix.exe [2013.07.25 18:22:09 | 000,000,562 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Variablen.bat [2013.07.25 13:58:45 | 000,917,667 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\gitmobynumbers_infographichires-jan2012_0.jpg [2013.07.25 02:06:45 | 000,000,628 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TrueCrypt.lnk [2013.07.25 02:06:42 | 000,231,760 | ---- | M] (TrueCrypt Foundation) -- C:\WINDOWS\System32\drivers\truecrypt.sys [2013.07.24 16:23:58 | 000,000,665 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Startmenü\Programme\Autostart\DeskPins.lnk [2013.07.24 10:54:43 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2013.07.23 22:33:25 | 000,001,735 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Gaderobia Arbeitsstunden.0.odb [2013.07.23 20:29:39 | 000,560,934 | ---- | M] (Oleg N. Scherbakov) -- C:\Dokumente und Einstellungen\Neuro\Desktop\JRT.exe [2013.07.23 20:28:30 | 000,666,633 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\AdwCleaner.exe [2013.07.23 13:19:47 | 000,000,212 | ---- | M] () -- C:\Boot.bak [2013.07.23 01:44:30 | 000,035,487 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\optischetauschung.jpg [2013.07.22 00:24:47 | 000,000,764 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2013.07.21 13:05:00 | 000,006,741 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\ghs_gefahr.jpg [2013.07.21 12:58:51 | 000,005,869 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\ghs_achtung.jpg [2013.07.21 12:58:02 | 000,012,871 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\ghs_gefahr.htm [2013.07.18 20:19:06 | 000,003,352 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\größsen.png [2013.07.18 17:39:09 | 001,287,522 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\kiwistore-logo-grün.ai [2013.07.18 17:39:09 | 001,287,522 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\kiwistore-logo-grün.ai [2013.07.18 10:16:45 | 333,860,826 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\sn0wbreeze_iPhone_3G-4.2.1-8C148.ipsw [2013.07.18 07:22:49 | 000,378,186 | ---- | M] () -- C:\Keys_8976237408747810568.plist [2013.07.18 03:27:19 | 000,001,030 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\[DefaultBox] 51e7336b.lnk [2013.07.18 01:13:00 | 000,068,360 | ---- | M] () -- C:\WINDOWS\SnowburstOne-Regular.ttf [2013.07.18 01:13:00 | 000,068,360 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Snowbur0.ttf [2013.07.15 21:22:48 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\UMDF\Msft_User_WpdMtpDr_01_00_00.Wdf [2013.07.15 17:44:52 | 000,003,790 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\aeschokeeFarben.csv [2013.07.15 09:54:55 | 000,001,820 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\[Internet] shared.lnk [2013.07.15 07:21:38 | 000,000,507 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\checksum.lnk [2013.07.15 07:16:44 | 000,073,110 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\shared.xml [2013.07.15 06:42:48 | 000,001,551 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Eingabeaufforderung.lnk [2013.07.15 06:42:19 | 000,000,573 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Verknüpfung mit Stop Neustart nach update.bat.lnk [2013.07.15 06:04:11 | 000,000,030 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Stop Neustart nach update.bat [2013.07.14 22:37:13 | 000,001,190 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\[DefaultBox] 670165479B115351E273A2A7D089AF2C.lnk [2013.07.14 12:40:38 | 008,091,601 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\preislisteXX.pdf [2013.07.13 17:48:23 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2013.07.13 13:52:18 | 000,019,344 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\btm-stoffgruppen.html [2013.07.13 09:41:10 | 001,384,126 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Cor2.cdr [2013.07.13 09:41:08 | 006,359,821 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Cor1.cdr [2013.07.12 13:10:27 | 000,506,609 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\SnowModelOrd.pdf [2013.07.12 12:52:05 | 000,152,576 | ---- | M] (SysProgs.org) -- C:\WINDOWS\System32\drivers\BazisPortableCDBus.sys [2013.07.12 12:50:00 | 000,001,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\.rnd [2013.07.12 12:41:31 | 000,000,887 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\server.key [2013.07.12 12:41:31 | 000,000,757 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\server.crt [2013.07.12 12:06:55 | 000,538,361 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\D1_PM2_Tr2_Orlando_DefendMSWindows-0-day exploits using EMET-novid_Remediated.pdf [2013.07.12 12:06:48 | 000,537,367 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\D1_PM2_Tr2_Orlando_DefendMSWindows-0-day exploits using EMET-novid.pdf [2013.07.12 12:05:35 | 000,180,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Ecg229.ec1 [2013.07.12 07:03:09 | 000,031,584 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\farben.ods [2013.07.12 04:55:19 | 000,008,415 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\183258-1.csv [2013.07.12 03:05:18 | 000,009,122 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\res.csv [2013.07.11 22:30:06 | 000,002,547 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\farbdaten.csv [2013.07.11 19:49:40 | 000,038,470 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\drugcolor.csv [2013.07.11 19:28:00 | 000,193,454 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\farben.html [2013.07.11 12:48:16 | 000,000,731 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Virtual Drive 9.lnk [2013.07.11 12:30:38 | 000,000,861 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Total Recorder.LNK [2013.07.10 17:09:18 | 000,771,709 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\myInvaders.cdr [2013.07.10 08:04:07 | 000,017,687 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\palette.csv [2013.07.09 23:53:46 | 000,003,962 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\new 3.svg [2013.07.09 21:25:14 | 000,001,124 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\checkMark16.png [2013.07.09 11:45:16 | 000,085,148 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\google_plus_sprites.png [2013.07.08 23:20:25 | 001,034,464 | ---- | M] (Solid State Networks) -- C:\Dokumente und Einstellungen\Neuro\Desktop\install_flashplayer11x32_mssd_aaa_aih.exe [2013.07.08 23:13:10 | 000,028,453 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\header_links.gif [2013.07.08 13:16:45 | 000,044,538 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\COLLISION.JSON [2013.07.08 13:14:44 | 000,017,652 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\bookmarks-2013-07-08.json [2013.07.08 12:54:14 | 000,031,814 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\mozilla addons.xul [2013.07.08 01:29:26 | 000,000,514 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Eclipse JUNO PHP.lnk [2013.07.04 03:16:17 | 000,001,283 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\recently-used.xbel [2013.07.04 03:05:59 | 000,000,428 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Captuer_00 [2013.07.03 12:31:11 | 000,039,757 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\36852da7-5a42-4dde-ae6e-07ea67d49865_4.jpg [2013.07.03 07:19:13 | 000,000,721 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\AMP Font Viewer.lnk [2013.07.03 03:34:42 | 000,000,890 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MiniTool Partition Wizard Home Edition.lnk [2013.07.03 02:32:36 | 000,001,615 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Samsung Kies (Lite).lnk [2013.07.03 02:32:36 | 000,001,605 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Samsung Kies.lnk [2013.07.02 22:07:35 | 000,000,300 | R--- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\BK_ADKO_000124cDE_LC_128_44100_ste_neuro@bohramt.de.adh [2013.07.02 22:07:30 | 000,000,300 | R--- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\BK_ADKO_000124bDE_LC_128_44100_ste_neuro@bohramt.de.adh [2013.07.02 22:07:10 | 000,000,300 | R--- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\BK_ADKO_000124aDE_LC_128_44100_ste_neuro@bohramt.de.adh [2013.07.02 21:13:51 | 000,255,352 | ---- | M] (Audible, Inc.) -- C:\WINDOWS\System32\awrdscdc.ax [2013.07.02 09:17:00 | 000,018,565 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\26%20Ergänzung%20zum%20BTMG.odt_0.odt [2013.07.02 09:16:45 | 000,010,870 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\untitled_1.ods [2013.07.02 05:34:11 | 000,004,005 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\farben.csv [2013.07.02 05:31:58 | 000,000,350 | ---- | M] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\fnord.c++ [2013.07.02 04:06:05 | 000,000,375 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.ics [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.07.30 21:45:31 | 000,229,382 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\sysdata.xml [2013.07.30 21:45:31 | 000,098,304 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Mini073013-01.dmp [2013.07.30 21:19:39 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\defogger_reenable [2013.07.30 16:59:07 | 000,348,360 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\fresseback.png [2013.07.30 16:21:24 | 000,027,329 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\zertrifikatspeicher.png [2013.07.30 12:33:18 | 000,377,856 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\gmer_2.1.19163.exe [2013.07.30 12:30:42 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Defogger.exe [2013.07.30 05:19:37 | 2114,330,624 | -HS- | C] () -- C:\hiberfil.sys [2013.07.30 02:56:57 | 000,160,217 | ---- | C] () -- C:\WINDOWS\System32\PowerToysLicense.rtf [2013.07.30 02:45:31 | 000,000,332 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\persitendConnections.reg [2013.07.29 21:02:11 | 025,183,736 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Untitled.2avi.avi [2013.07.29 21:01:08 | 025,183,736 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Untitled.avi [2013.07.29 20:32:08 | 000,251,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\leet.ttf [2013.07.29 19:19:30 | 000,000,009 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\.bash_history [2013.07.29 04:56:39 | 000,000,850 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Baseline Security Analyzer 2.2.lnk [2013.07.28 23:28:20 | 000,000,716 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit migwiza.lnk [2013.07.28 23:28:18 | 000,000,716 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit migload.lnk [2013.07.28 23:28:02 | 000,000,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Verknüpfung mit migwiz.lnk [2013.07.28 19:37:53 | 001,754,965 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\2013-07-28 17.24.09.jpg [2013.07.28 19:37:50 | 002,220,761 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\2013-07-28 17.32.52.jpg [2013.07.28 19:37:47 | 002,485,381 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\2013-07-28 17.24.04.jpg [2013.07.28 19:37:43 | 002,419,151 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\2013-07-28 17.36.13.jpg [2013.07.28 10:51:28 | 000,068,360 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Snowbur0.ttf [2013.07.28 10:51:27 | 000,217,360 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\OpenSans-Regular.ttf [2013.07.28 10:51:27 | 000,212,896 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\OpenSans-Italic.ttf [2013.07.27 16:19:10 | 000,000,992 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\swedisch.p7b [2013.07.27 15:59:04 | 000,172,558 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\cc_20130727_155858.reg [2013.07.27 15:49:45 | 000,000,802 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Kaspersky Security Scan.lnk [2013.07.27 15:22:25 | 001,287,522 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\kiwistore-logo-grün.ai [2013.07.27 14:32:43 | 000,000,662 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk [2013.07.27 13:30:22 | 000,000,181 | ---- | C] () -- C:\WINDOWS\System32\deployJava1.hash [2013.07.27 12:13:38 | 000,114,458 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\krasomatiko.jpg [2013.07.27 03:35:16 | 000,068,360 | ---- | C] () -- C:\WINDOWS\SnowburstOne-Regular.ttf [2013.07.25 18:11:19 | 000,000,212 | ---- | C] () -- C:\Boot.bak [2013.07.25 18:11:13 | 000,262,448 | RHS- | C] () -- C:\cmldr [2013.07.25 18:08:49 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2013.07.25 18:08:49 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2013.07.25 18:08:48 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2013.07.25 18:08:48 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2013.07.25 18:08:48 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2013.07.25 13:58:43 | 000,917,667 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\gitmobynumbers_infographichires-jan2012_0.jpg [2013.07.25 02:06:45 | 000,000,628 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TrueCrypt.lnk [2013.07.24 16:21:28 | 000,182,294 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2013.07.24 02:28:53 | 000,000,665 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Startmenü\Programme\Autostart\DeskPins.lnk [2013.07.23 22:33:25 | 000,001,735 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Gaderobia Arbeitsstunden.0.odb [2013.07.23 20:29:02 | 000,666,633 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\AdwCleaner.exe [2013.07.23 15:06:43 | 000,000,562 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Variablen.bat [2013.07.23 09:28:49 | 000,015,576 | ---- | C] () -- C:\WINDOWS\System32\pwdrvio.sys [2013.07.23 01:44:27 | 000,035,487 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\optischetauschung.jpg [2013.07.22 21:37:47 | 007,764,278 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1644491937-1801674531-741987641-1004-0.dat [2013.07.22 00:24:47 | 000,000,764 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2013.07.21 13:04:58 | 000,006,741 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\ghs_gefahr.jpg [2013.07.21 12:58:49 | 000,005,869 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\ghs_achtung.jpg [2013.07.21 12:57:49 | 000,012,871 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\ghs_gefahr.htm [2013.07.19 12:18:50 | 001,287,522 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\kiwistore-logo-grün.ai [2013.07.18 20:19:06 | 000,003,352 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\größsen.png [2013.07.18 10:11:19 | 333,860,826 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\sn0wbreeze_iPhone_3G-4.2.1-8C148.ipsw [2013.07.18 07:22:46 | 000,378,186 | ---- | C] () -- C:\Keys_8976237408747810568.plist [2013.07.18 03:27:19 | 000,001,030 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\[DefaultBox] 51e7336b.lnk [2013.07.18 02:14:01 | 000,001,830 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Apple Software Update.lnk [2013.07.15 17:42:16 | 000,003,790 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\aeschokeeFarben.csv [2013.07.15 09:54:55 | 000,001,820 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\[Internet] shared.lnk [2013.07.15 07:21:38 | 000,000,507 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\checksum.lnk [2013.07.15 07:16:44 | 000,073,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\shared.xml [2013.07.15 06:42:35 | 000,001,551 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Eingabeaufforderung.lnk [2013.07.15 06:41:46 | 000,000,573 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Verknüpfung mit Stop Neustart nach update.bat.lnk [2013.07.15 05:59:47 | 000,000,030 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Stop Neustart nach update.bat [2013.07.14 22:37:13 | 000,001,190 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\[DefaultBox] 670165479B115351E273A2A7D089AF2C.lnk [2013.07.14 12:37:44 | 008,091,601 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\preislisteXX.pdf [2013.07.13 13:52:13 | 000,019,344 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\btm-stoffgruppen.html [2013.07.13 09:41:08 | 001,384,126 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Cor2.cdr [2013.07.13 09:40:14 | 006,359,821 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Cor1.cdr [2013.07.12 13:10:22 | 000,506,609 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\SnowModelOrd.pdf [2013.07.12 12:47:48 | 000,000,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\server.key [2013.07.12 12:47:30 | 000,000,578 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\server.csr [2013.07.12 12:46:37 | 000,000,757 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\server.crt [2013.07.12 12:40:56 | 000,001,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\.rnd [2013.07.12 12:06:53 | 000,538,361 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\D1_PM2_Tr2_Orlando_DefendMSWindows-0-day exploits using EMET-novid_Remediated.pdf [2013.07.12 12:06:46 | 000,537,367 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\D1_PM2_Tr2_Orlando_DefendMSWindows-0-day exploits using EMET-novid.pdf [2013.07.12 12:05:34 | 000,180,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Ecg229.ec1 [2013.07.12 06:34:45 | 000,031,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\farben.ods [2013.07.12 04:55:19 | 000,008,415 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\183258-1.csv [2013.07.12 01:40:52 | 000,009,122 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\res.csv [2013.07.11 22:20:27 | 000,002,547 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\farbdaten.csv [2013.07.11 19:36:55 | 000,038,470 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\drugcolor.csv [2013.07.11 18:48:35 | 000,193,454 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\farben.html [2013.07.11 12:48:16 | 000,000,731 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Virtual Drive 9.lnk [2013.07.11 12:30:38 | 000,000,861 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Total Recorder.LNK [2013.07.10 17:09:15 | 000,771,709 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\myInvaders.cdr [2013.07.10 07:55:01 | 000,017,687 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\palette.csv [2013.07.09 23:49:30 | 000,003,962 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\new 3.svg [2013.07.09 21:25:12 | 000,001,124 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\checkMark16.png [2013.07.09 11:45:12 | 000,085,148 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\google_plus_sprites.png [2013.07.08 23:13:07 | 000,028,453 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\header_links.gif [2013.07.08 13:16:45 | 000,044,538 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\COLLISION.JSON [2013.07.08 13:14:23 | 000,017,652 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\bookmarks-2013-07-08.json [2013.07.08 12:54:14 | 000,031,814 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\mozilla addons.xul [2013.07.08 01:29:26 | 000,000,514 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\Eclipse JUNO PHP.lnk [2013.07.04 03:16:17 | 000,001,283 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\recently-used.xbel [2013.07.04 03:03:06 | 000,000,428 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Captuer_00 [2013.07.03 12:31:11 | 000,039,757 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\36852da7-5a42-4dde-ae6e-07ea67d49865_4.jpg [2013.07.03 07:19:13 | 000,000,721 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\AMP Font Viewer.lnk [2013.07.03 05:10:59 | 000,018,565 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\26%20Ergänzung%20zum%20BTMG.odt_0.odt [2013.07.03 05:10:59 | 000,010,870 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\untitled_1.ods [2013.07.03 03:34:56 | 002,939,072 | ---- | C] () -- C:\WINDOWS\System32\pwNative.exe [2013.07.03 03:34:55 | 000,010,200 | ---- | C] () -- C:\WINDOWS\System32\pwdspio.sys [2013.07.03 03:34:42 | 000,000,890 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MiniTool Partition Wizard Home Edition.lnk [2013.07.03 02:32:36 | 000,001,615 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Samsung Kies (Lite).lnk [2013.07.03 02:32:36 | 000,001,605 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Samsung Kies.lnk [2013.07.02 22:07:15 | 000,000,300 | R--- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\BK_ADKO_000124cDE_LC_128_44100_ste_neuro@bohramt.de.adh [2013.07.02 22:07:15 | 000,000,300 | R--- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\BK_ADKO_000124bDE_LC_128_44100_ste_neuro@bohramt.de.adh [2013.07.02 22:07:15 | 000,000,300 | R--- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\BK_ADKO_000124aDE_LC_128_44100_ste_neuro@bohramt.de.adh [2013.07.02 05:34:11 | 000,004,005 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\farben.csv [2013.07.02 05:31:58 | 000,000,350 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Desktop\fnord.c++ [2013.07.01 19:51:09 | 001,389,324 | ---- | C] () -- C:\WINDOWS\yukondg.exe [2013.06.28 01:47:54 | 000,301,568 | ---- | C] () -- C:\WINDOWS\System32\LiveWrapRTSP.dll [2013.05.25 08:26:37 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini [2013.05.05 13:10:25 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2013.05.04 22:13:04 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll [2013.04.21 17:12:46 | 000,000,618 | ---- | C] () -- C:\WINDOWS\cedt.INI [2013.04.18 19:07:00 | 000,030,568 | ---- | C] () -- C:\WINDOWS\MusiccityDownload.exe [2013.04.18 19:06:46 | 000,974,848 | ---- | C] () -- C:\WINDOWS\System32\cis-2.4.dll [2013.04.18 19:06:46 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\issacapi_bs-2.3.dll [2013.04.18 19:06:46 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\issacapi_pe-2.3.dll [2013.04.18 19:06:46 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\issacapi_se-2.3.dll [2013.04.14 04:09:09 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND [2013.04.14 03:53:38 | 000,009,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Neuro\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2013.04.13 17:57:09 | 000,018,944 | R--- | C] () -- C:\WINDOWS\eraser.exe [2013.04.04 20:28:29 | 000,401,408 | ---- | C] () -- C:\WINDOWS\System32\wget.exe [2013.03.29 02:34:51 | 000,038,716 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2013.03.27 19:57:35 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI [2013.03.01 03:47:36 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll [2013.02.22 14:07:25 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2013.02.19 09:29:35 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll [2013.02.19 04:05:51 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4833.dll [2013.02.19 04:05:18 | 000,298,752 | ---- | C] () -- C:\WINDOWS\System32\drivers\yk51x86.sys [2013.02.19 03:51:37 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2013.02.19 03:47:08 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2013.02.19 03:37:34 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2013.02.19 03:36:21 | 000,207,304 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.08.19 11:26:20 | 010,920,984 | ---- | C] () -- C:\WINDOWS\System32\LogiDPP.dll [2011.08.19 11:26:20 | 000,336,408 | ---- | C] () -- C:\WINDOWS\System32\DevManagerCore.dll [2011.08.19 11:26:20 | 000,104,472 | ---- | C] () -- C:\WINDOWS\System32\LogiDPPApp.exe ========== ZeroAccess Check ========== [2013.02.22 05:18:52 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2012.12.27 12:24:13 | 001,510,400 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2013.07.29 01:46:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1 [2013.03.17 01:50:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2DBoy [2013.07.12 12:56:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alien Skin [2013.03.12 11:39:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AutoHideIP [2013.07.24 05:49:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bitstream [2013.07.15 07:21:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\corz [2013.02.19 09:26:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2013.04.30 17:06:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IR Server Suite [2013.03.05 01:18:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogMeIn [2013.04.30 17:06:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung [2013.07.22 13:14:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\webcamXP 5 [2013.07.31 15:03:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\AMPSoft [2013.07.19 22:53:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\corz [2013.04.21 09:26:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Cyberduck [2013.05.04 02:30:09 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Cyberduck Updater AU [2013.07.27 14:57:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\DAEMON Tools Lite [2013.07.27 14:57:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\DAEMON Tools Pro [2013.03.04 02:24:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Downloaded Installations [2013.07.30 12:18:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Dropbox [2013.07.19 22:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\FireShot [2013.04.21 02:21:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\iFunbox_UserCache [2013.07.01 01:22:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\JonDo [2013.04.07 21:48:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Leadertech [2013.03.29 03:28:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\LibreOffice [2013.06.25 06:03:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\MSNInstaller [2013.04.03 19:29:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\OpenOffice.org [2013.04.27 20:03:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Oracle [2013.05.17 04:33:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Promixis [2013.07.30 16:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\redsn0w [2013.04.10 21:47:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\RunRev [2013.07.02 03:41:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Samsung [2013.05.14 19:28:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Spotify [2013.07.11 12:32:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\TotalRecorder [2013.07.25 02:12:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\TrueCrypt [2013.07.27 18:46:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\uTorrent [2013.07.06 13:12:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Neuro\Anwendungsdaten\Wireshark ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\ntvdm.exe:SummaryInformation @Alternate Data Stream - 88 bytes -> C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont:SummaryInformation @Alternate Data Stream - 276 bytes -> C:\Dokumente und Einstellungen\Neuro\Desktop\Stop Neustart nach update.bat:SummaryInformation @Alternate Data Stream - 132 bytes -> C:\Dokumente und Einstellungen\Neuro\Desktop\Stop Neustart nach update.bat:SebiesnrMkudrfcoIaamtykdDa @Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\Neuro\Desktop\Stop Neustart nach update.bat:DocumentSummaryInformation < End of report > [CODE]Extras.txt:OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 30.07.2013 21:54:07 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Neuro\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,97 Gb Total Physical Memory | 1,46 Gb Available Physical Memory | 74,27% Memory free
3,82 Gb Paging File | 3,37 Gb Available in Paging File | 88,33% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 10,53 Gb Free Space | 14,13% Space Free | Partition Type: NTFS
Computer Name: BAM | User Name: Neuro | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [01.checksum] -- "C:\Programme\filechecksum\\checksum.exe" cr "%1" (corz.org)
Directory [03.checksum] -- "C:\Programme\filechecksum\\checksum.exe" vr "%1" (corz.org)
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"3389:TCP" = 3389:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22009
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Promixis\Girder51\girder.exe" = C:\Programme\Promixis\Girder51\girder.exe:*:Enabled:Trust Girder -- (Promixis)
"C:\Programme\Promixis\Girder51\grunt.exe" = C:\Programme\Promixis\Girder51\grunt.exe:*:Enabled:Trust Girder Runtime -- (Promixis, LLC)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\sessmgr.exe" = C:\WINDOWS\system32\sessmgr.exe:LocalSubNet:Disabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Disabled:iTunes -- (Apple Inc.)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{13CD417D-F1F1-4AC4-945D-FDDEB884756F}" = Microsoft Baseline Security Analyzer 2.2
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{56009CA3-423B-41F8-884A-E5B049534F15}" = Kaspersky Security Scan
"{5D09C772-ECB3-442B-9CC6-B4341C78FDC2}" = Apple Application Support
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{91FD46D2-4FB7-4A51-8637-556E1BE1DB7C}" = iTunes
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{E14ADE0E-75F3-4A46-87E5-26692DD626EC}" = Apple Mobile Device Support
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"CCleaner" = CCleaner
"InstallWIX_{56009CA3-423B-41F8-884A-E5B049534F15}" = Kaspersky Security Scan
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware version 1.75.0.1300
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"PowerShell" = Windows PowerShell(TM) 1.0
"TrueCrypt" = TrueCrypt
"Tweak UI 2.10" = Tweak UI
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
"Spotify" = Spotify
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 29.07.2013 22:34:43 | Computer Name = BAM | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während
der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 29.07.2013 22:35:07 | Computer Name = BAM | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während
der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 29.07.2013 22:54:58 | Computer Name = BAM | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung TweakUI.exe, Version 2.10.0.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 29.07.2013 22:55:05 | Computer Name = BAM | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung VideoCacheView.exe, Version 2.4.0.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 29.07.2013 22:57:21 | Computer Name = BAM | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während
der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 29.07.2013 22:57:39 | Computer Name = BAM | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während
der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 29.07.2013 22:57:41 | Computer Name = BAM | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während
der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.07.2013 06:35:41 | Computer Name = BAM | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00055000.
Error - 30.07.2013 06:43:03 | Computer Name = BAM | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
Error - 30.07.2013 14:35:03 | Computer Name = BAM | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung notepad.exe, Version 5.1.2600.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 30.07.2013 10:27:39 | Computer Name = BAM | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Presentation Foundation Font Cache 4.0.0.0" wurde
unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen
werden in 0 Millisekunden durchgeführt: Starten Sie den Dienst neu..
Error - 30.07.2013 10:27:55 | Computer Name = BAM | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Presentation Foundation Font Cache 4.0.0.0" wurde
unerwartet beendet. Dies ist bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen
werden in 0 Millisekunden durchgeführt: Starten Sie den Dienst neu..
Error - 30.07.2013 14:29:25 | Computer Name = BAM | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1068" aufgetreten, als der Dienst "upnphost"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {204810B9-73B2-11D4-BF42-00B0D0118B56}
Error - 30.07.2013 14:29:26 | Computer Name = BAM | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Universeller Plug & Play-Gerätehost" ist vom Dienst "SSDP-Suchdienst"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058
Error - 30.07.2013 15:24:33 | Computer Name = BAM | Source = Service Control Manager | ID = 7003
Description = Der Dienst "Kompatibilität für schnelle Benutzerumschaltung" ist von
folgendem, nicht vorhandenem Dienst abhängig: TermService
Error - 30.07.2013 15:31:55 | Computer Name = BAM | Source = Service Control Manager | ID = 7003
Description = Der Dienst "Kompatibilität für schnelle Benutzerumschaltung" ist von
folgendem, nicht vorhandenem Dienst abhängig: TermService
Error - 30.07.2013 15:43:05 | Computer Name = BAM | Source = Service Control Manager | ID = 7003
Description = Der Dienst "Kompatibilität für schnelle Benutzerumschaltung" ist von
folgendem, nicht vorhandenem Dienst abhängig: TermService
Error - 30.07.2013 15:43:35 | Computer Name = BAM | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
Error - 30.07.2013 15:43:35 | Computer Name = BAM | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053
Error - 30.07.2013 15:44:38 | Computer Name = BAM | Source = System Error | ID = 1003
Description = Fehlercode 100000d1, 1. Parameter 00000000, 2. Parameter 00000002,
3. Parameter 00000008, 4. Parameter 00000000.
< End of report >
Es gibt noch zahlreiche Aänderungen und auffälligkeiten wie z.B 3 zusätzliche logischenspeicher im Zertifikatspeicher mit unleserlicher Bennenung. Screenshot:  .Wo kommt das her wie bekoome ichs wieder weg? Ein fehlgeschlagener automatischer Login bei jedem Neustart. Danach kommt der normale Login bei dem ich ein Passwort eingebe. Screenshot:  Dann habe ich im Ereignisprotokoll seltsamme Anmeldevorgänge felgeschlagen wie Auch erfolgreich. Code:
ATTFilter Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: Kontoanmeldung
Ereigniskennung: 680
Datum: 30.07.2013
Zeit: 17:37:53
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: BAM
Beschreibung:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: Neuro
Arbeitsstation: BAM
Fehlercode: 0xC000006A
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 30.07.2013
Zeit: 17:37:53
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: BAM
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Neuro
Domäne: BAM
Anmeldetyp: 2
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: BAM
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Kontoanmeldung
Ereigniskennung: 680
Datum: 30.07.2013
Zeit: 17:37:59
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: BAM
Beschreibung:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: Neuro
Arbeitsstation: BAM
Fehlercode: 0x0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 528
Datum: 30.07.2013
Zeit: 17:38:00
Benutzer: BAM\Neuro
Computer: BAM
Beschreibung:
Erfolgreiche Anmeldung:
Benutzername: Neuro
Domäne: BAM
Anmeldekennung: (0x0,0x64E00D)
Anmeldetyp: 2
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: BAM
Anmelde-GUID: -
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Berechtigungen
Ereigniskennung: 576
Datum: 30.07.2013
Zeit: 17:38:00
Benutzer: BAM\Neuro
Computer: BAM
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0x64E00D)
Berechtigungen: SeChangeNotifyPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 30.07.2013
Zeit: 17:38:00
Benutzer: BAM\Neuro
Computer: BAM
Beschreibung:
Benutzerabmeldung:
Benutzername: Neuro
Domäne: BAM
Anmeldekennung: (0x0,0x64E00D)
Anmeldetyp: 2
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 528
Datum: 30.07.2013
Zeit: 17:41:20
Benutzer: NT-AUTORITÄT\NETZWERKDIENST
Computer: BAM
Beschreibung:
Erfolgreiche Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Anmeldetyp: 5
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: -
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Berechtigungen
Ereigniskennung: 576
Datum: 30.07.2013
Zeit: 17:41:20
Benutzer: NT-AUTORITÄT\NETZWERKDIENST
Computer: BAM
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: NETZWERKDIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E4)
Berechtigungen: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege
Es kommt viele male am Tag vor das sich das Netzwerkdevice kurz verabschiedet und wieder auftaucht egal ob Wlan oder Ethernet habe bereits die Treiber neu Installiert jedoch ohne Änderung der Vorkommnisse. In der Ereignisanzeige steht folgendes dazu. Code:
ATTFilter Ereignistyp: Informationen
Ereignisquelle: Tcpip
Ereigniskategorie: Keine
Ereigniskennung: 4202
Datum: 30.07.2013
Zeit: 19:49:30
Benutzer: Nicht zutreffend
Computer: BAM
Beschreibung:
Es wurde festgestellt, dass der Netzwerkadapter "\DEVICE\TCPIP_{208FB776-C149-4C2C-88D2-72BA37F2FCAE}" vom Netzwerk getrennt wurde, und dass die Netzwerkkonfiguration des Adapters freigegeben wurde. Möglicherweise ist der Adapter beschädigt, falls der Adapter nicht vom Netzwerk getrennt wurde. Wenden Sie sich an den Hersteller bezüglich aktueller Treiber.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 02 00 50 00 ......P.
0008: 00 00 00 00 6a 10 00 40 ....j..@
0010: 02 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
Ereignistyp: Informationen
Ereignisquelle: Tcpip
Ereigniskategorie: Keine
Ereigniskennung: 4201
Datum: 30.07.2013
Zeit: 19:49:55
Benutzer: Nicht zutreffend
Computer: BAM
Beschreibung:
Netzwerkadapter "\DEVICE\TCPIP_{208FB776-C149-4C2C-88D2-72BA37F2FCAE}" wurde mit dem Netzwerk verbunden, und das System wurde über das Netzwerk im normalen Zustand gestartet.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 02 00 50 00 ......P.
0008: 00 00 00 00 69 10 00 40 ....i..@
0010: 02 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
oder auch
Ereignistyp: Informationen
Ereignisquelle: Tcpip
Ereigniskategorie: Keine
Ereigniskennung: 4202
Datum: 30.07.2013
Zeit: 12:05:48
Benutzer: Nicht zutreffend
Computer: BAM
Beschreibung:
Es wurde festgestellt, dass der Netzwerkadapter "Marvell...88E8053 PCI-E Gigabit Ethernet Controller" vom Netzwerk getrennt wurde, und dass die Netzwerkkonfiguration des Adapters freigegeben wurde. Möglicherweise ist der Adapter beschädigt, falls der Adapter nicht vom Netzwerk getrennt wurde. Wenden Sie sich an den Hersteller bezüglich aktueller Treiber.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 02 00 50 00 ......P.
0008: 00 00 00 00 6a 10 00 40 ....j..@
0010: 02 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
Ereignistyp: Informationen
Ereignisquelle: Tcpip
Ereigniskategorie: Keine
Ereigniskennung: 4201
Datum: 30.07.2013
Zeit: 12:06:58
Benutzer: Nicht zutreffend
Computer: BAM
Beschreibung:
Netzwerkadapter "\DEVICE\TCPIP_{208FB776-C149-4C2C-88D2-72BA37F2FCAE}" wurde mit dem Netzwerk verbunden, und das System wurde über das Netzwerk im normalen Zustand gestartet.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 02 00 50 00 ......P.
0008: 00 00 00 00 69 10 00 40 ....i..@
0010: 02 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
Code:
ATTFilter Ereignistyp: Informationen
Ereignisquelle: EventLog
Ereigniskategorie: Keine
Ereigniskennung: 6006
Datum: 30.07.2013
Zeit: 12:04:24
Benutzer: Nicht zutreffend
Computer: BAM
Beschreibung:
Der Ereignisprotokolldienst wurde beendet.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp.
Daten:
0000: ff 00 00 00 ÿ...
Ereignistyp: Informationen
Ereignisquelle: EventLog
Ereigniskategorie: Keine
Ereigniskennung: 6009
Datum: 30.07.2013
Zeit: 12:06:45
Benutzer: Nicht zutreffend
Computer: BAM
Beschreibung:
Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.
Ereignistyp: Informationen
Ereignisquelle: EventLog
Ereigniskategorie: Keine
Ereigniskennung: 6005
Datum: 30.07.2013
Zeit: 12:06:45
Benutzer: Nicht zutreffend
Computer: BAM
Beschreibung:
Der Ereignisprotokolldienst wurde gestartet.
Code:
ATTFilter Ereignistyp: Fehler
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7028
Datum: 30.07.2013
Zeit: 12:08:27
Benutzer: Nicht zutreffend
Computer: BAM
Beschreibung:
Der Registrierungsschlüssel "Cfg" hat den Zugriff für SYSTEM-Kontoprogramme verweigert. Der Dienststeuerungs-Manager hat daher den Besitz des Registrierungsschlüssels übernommen.
Code:
ATTFilter Ereignistyp: Fehler
Ereignisquelle: sptd
Ereigniskategorie: Keine
Ereigniskennung: 4
Datum: 30.07.2013
Zeit: 05:09:13
Benutzer: Nicht zutreffend
Computer: BAM
Beschreibung:
Der Treiber hat einen internen Fehler in seinen Datenstrukturen für festgestellt.
So jetzt noch die Logfiles aus vorangegeagenem Versuch. Die Reihenfolge weiss ich nichtmehr die Logfiles sind alle aus C:\Dokumente und Einstellungen\Neuro\Eigene Dateien\Downloads\ in dem Ordner wurden auch die einzelenen Tools gestartet. mbr.log: Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net Windows 5.1.2600 Disk: Hitachi_HTS542580K9SA00 rev.BBBAC3GP -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T1L0-e device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Dann ist da noch diese HijackThis.log. Soll ich das auch Posten? es müsste auch noch ein malwarebites Anitmalware log irgendwo sein ich finde es aber nicht. Ich hoffe ich habe alles richtig gemacht und es findet sich jemand der mir Helfen will/kann. Geändert von Nuzoo (01.08.2013 um 10:15 Uhr) |
| Themen zu Login und Zertrifikat Speicher manipuliert. Interrupts belegen 50% Prozessorleistung. Viele Funde z.b TR/Downloader.Gen2 oder TR/Gendal.60 |
| adware/agent.635596.1, adware/webcake.a, antivir, avira, backdoor, bho, bildschirm, bonjour, browser, combofix, desktop, error, euro, fehlercode 1, fehlercode 10, firefox, helper, hijack, hijackthis, home, homepage, interrupts, kaspersky, logfile, neustart., nodrives, plug-in, samsung kies, scan, security, software, starten, system, system error, tr/downloader.gen2 |
Baum-Darstellung