Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden (https://www.trojaner-board.de/129208-virus-trojaner-saving-sidekick-manuell-mir-gefunden.html)

-Hicks- 09.01.2013 05:33
Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden
 
Liebes Trojaner-Board Team,

leider muss ich etwas ausholen:
Ich habe das Laptop im August/September neu aufgesetzt, weil er sehr langsam war und ich mich plötzlich nicht mehr auf dem Server meines Chefs einloggen konnte!

Doch direkt danach:
Hat mir das Netzwerk meines Chefs gesagt, dass das kein sicheres Laptop ist und er mich nicht ins Netz lässt!
(Ich habe keinen Verdacht geschöpft, denn da konnte ja kein Virus sein, das Laptop ist ja soeben erst formatiert und neu aufgesetzt worden :( )
Außerdem war/ist es immer noch langsam und beim Seitenaufbau und Programm/e öffnen ging es sogar noch langsamer, es wurde sehr heiß - schon beim Starten -
und seit etwa Mitte/Ende Oktober kam dann ab-und-zu plötzliches Abschalten ohne Vorwarnung dazu und keinerlei Fehlermeldung, beim Neustart!

Seit 08.01.2013 20.00h läuft es - nach einer "Inspektion":
Keine Änderung am Tempo, aber er bleibt an und wird nicht mehr heiß!!!
Das Gerät wurde mit Druckluft durch geblasen, da sich der Lüfter/Kühler/Ventilator mit Staub zugesetzt hatte!
Beim ersten Öffnen des Firefox, ist mir dann eine Toolbar entgegen gesprungen, die da nicht sein sollte!
Der "Inspekteur" hat mir versichert, das er keine Programme außer einem Diagnoseprogramm (SpeedFan)
installiert hat und dieses nach getaner Arbeit wieder gelöscht hat!

Nach meiner Nachforschung stellte sich herraus, das "etwas" einfach verschiedene Software installiert hat!
Ist schon deinstalliert, da ich da noch keinen Verdacht geschöpft hatte!!!
Es handelte sich um eine Toolbar, eine Suchmaschine für Sozialenetzwerke und ein Programm, das mir nicht mehr einfällt!
Bei der Suche nach weiterer ungewollter Software ist mir auch das Programm "SAVING SIDEKICK" begegnet!
Es ist laut Installationsdatum schon vom 02.09.2012!!!

Daraufhin habe ich im Internet geschaut was das ist und bin dabei auf Eurer Seite gelandet!
Hier habe ich mir einige Threads durchgelesen und dann Punkt 1-3 abgehakt, malwarebytes (quick) durchlaufen lassen und mich dann registriert!
Nach dem Check von malwarebytes habe ich aber noch nichts gelöscht!
Die nun 4 *.txt-Dateien sind im Anhang - editiert!

Ach so, mse von microsoft hat NIE auch nur irgendetwas angemeckert!!! Auch gestern/heute nicht! Könntet Ihr mir ein Programm empfehlen?
Ich überlege mir gData InternetSecurity 2013 zuzulegen!?

Och nööö, jetzt fängt der Thunderbird an rum zu spinnen - er informiert mich über Mails, obwohl er geschlossen ist!

So, ich hoffe ich habe nichts vergessen!

Es wäre sehr nett, wenn sich jemand aus dem Team auch um diesen Pflegefall kümmern könnte! Vielen ♥-lichen Dank schon mal im Voraus!!!
;)

Mit hoffnungsvollen Grüßen
Pia A. aka. -Hicks-

cosinus 09.01.2013 12:27
Hallo und :hallo:

Zitat:
weil er sehr langsam war und ich mich plötzlich nicht mehr auf dem Server meines Chefs einloggen konnte!
Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

-Hicks- 09.01.2013 16:52
Hallöle,

kann ich gut nachvollziehen, dass Ihr keine Firmenrechner bearbeitet!
:heulen:

Zur Er-/Klärung:
Mein Chef hat eine Ein-Personen-Firma (Darf ich Euch den Namen nennen? Es ist ein Onlineshop für Druckerzubehör und ein wenig Bürobedarf), bei der ich als Minijober MANCHMAL für Rechnungen zuständig bin - von zu hause aus! Höchstens 50Std im Monat! Es gibt keinen IT-Support in dieser Firma!

Seit der Neuinstallation im September ist dieses Laptop nicht mehr für gewerbliche Dinge genutzt worden, da sich ja nichts an dem Problem geändert hatte!
- Die Verbindungsmöglichkeit zum Server haben WIR also gar nicht mehr eingerichtet!

Fazit:
Es sind keine Firmendaten o.ä. auf dem Rechner! Nur Privatkram!

- Mein Chef weiß noch gar nicht, das ich einen Trojaner eingefangen habe! Humor ist, wenn man trotzdem lacht! ;)

Bin ich jetzt bei Euch richtig?
Bitte!

Auf eine Spende dürft Ihr Euch dann AUF JEDEN FALL freuen/gefasst machen!!!


Mit freundlichem Gruß
Pia A. aka. -Hicks-

cosinus 09.01.2013 23:42
Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

-Hicks- 10.01.2013 10:09
Zitat:
Zitat von cosinus (Beitrag 987124)
Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!
Hallo Cosinus,

alles was ich habe ist in der nochmals angehängten zip-Datei (logfiles.zip) - diese Datei beinhaltet die txt-Dateien aus den "geforderten ersten drei Schritten" (Checkliste)!
D.h. OTL.txt, EXTRAS.txt und Gmer.txt - zusätzlich ist die malwarebytes-txt-Datei mit bei!

Da ich grad kein zweites Zitat hinbekomme, mache ich das mal so:
ZITAT aus meiner ersten Mail:
"Daraufhin habe ich im Internet geschaut was das ist und bin dabei auf Eurer Seite gelandet!
Hier habe ich mir einige Threads durchgelesen und dann Punkt 1-3 abgehakt, malwarebytes (quick) durchlaufen lassen und mich dann registriert!
Nach dem Check von malwarebytes habe ich aber noch nichts gelöscht!
Die nun 4 *.txt-Dateien sind im Anhang - editiert!"
ZITATENDE

Die Dateien sind alle fertig editiert.
Ach, ich habe bei malwarebytes nicht den QUICK-scan sondern den VOLLSTÄNDIGEN-scan durchlaufen lassen!

mse von Microsoft hat NIE irgendwelche Funde gehabt!

Also habe ich auch gar keine anderen log Dateien!

Vielen Dank für die Mühe!

MfG
Pia A. aka. -Hicks-

cosinus 10.01.2013 16:48
Mal eine kurze Frage, das ist jetzt nichts speziell gegen dich, ich hätte auch jeden anderen fragen können der die Logs so postet - wo bitte steht, dass die Logs in den Anhang gelegt werden sollen bzw. wo genau hast du das herausgelesen?

Logfiles im Anhang erschweren die Auswertung massivst

Bitte um Erläuterung damit man die Textstelle in der Anleitung für alle Neulinge mal gezielt ändern/verbessern kann. Danke.
Zitat:
Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

-Hicks- 12.01.2013 11:38
Guten Tag,

*Zähne knirsch*

Auf der Seite der Checkliste steht eine Anleitung von "Da GuRu", aus der ich das so übernommen habe!
*doppelt Zähne knirsch*

Vielleicht hätte ich mir nicht nur die Anleitung durchlesen sollen, sondern auch die Überschrift!

*peinlich*

Ich versuche es jetzt nochmal nach Deiner Anleitung! Ok!?

Ist mir echt unangenehm! Sorry!

1. OTL

Code:
OTL logfile created on: 09.01.2013 02:07:16 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\***\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,86 Gb Total Physical Memory | 1,95 Gb Available Physical Memory | 50,35% Memory free
7,73 Gb Paging File | 5,88 Gb Available in Paging File | 76,11% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 150,39 Gb Total Space | 112,91 Gb Free Space | 75,08% Space Free | Partition Type: NTFS
Drive D: | 315,27 Gb Total Space | 282,50 Gb Free Space | 89,61% Space Free | Partition Type: NTFS
 
Computer Name: PINK | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.09 01:47:30 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe
PRC - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.12.18 09:10:54 | 001,807,800 | ---- | M] (Adobe Systems, Inc.) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_5_502_135.exe
PRC - [2012.12.01 00:20:08 | 000,916,960 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
PRC - [2012.11.20 18:02:32 | 000,388,576 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
PRC - [2012.09.06 12:12:20 | 000,162,408 | ---- | M] (Geek Software GmbH) -- C:\Program Files (x86)\PDF24\pdf24.exe
PRC - [2012.09.02 19:03:48 | 000,660,960 | ---- | M] () -- C:\ProgramData\IBUpdaterService\ibsvc.exe
PRC - [2009.11.04 12:11:48 | 000,835,072 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files (x86)\Samsung\Easy Display Manager\dmhkcore.exe
PRC - [2009.10.13 18:03:04 | 000,716,800 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files (x86)\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
PRC - [2009.06.03 19:59:02 | 000,103,720 | ---- | M] (CyberLink) -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
PRC - [2009.04.15 22:52:06 | 000,091,432 | ---- | M] (CyberLink Corp.) -- C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe
PRC - [2009.03.30 14:00:54 | 000,221,184 | ---- | M] (Brother Industries, Ltd.) -- C:\Program Files (x86)\Brother\Brmfcmon\BrMfcmon.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.12.18 09:10:53 | 014,586,296 | ---- | M] () -- C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll
MOD - [2012.12.01 00:19:39 | 002,397,152 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
MOD - [2012.11.20 18:02:36 | 002,240,992 | ---- | M] () -- C:\Program Files (x86)\Mozilla Thunderbird\mozjs.dll
MOD - [2012.11.20 18:02:35 | 000,157,664 | ---- | M] () -- C:\Program Files (x86)\Mozilla Thunderbird\NSLDAP32V60.dll
MOD - [2012.11.20 18:02:35 | 000,021,984 | ---- | M] () -- C:\Program Files (x86)\Mozilla Thunderbird\NSLDAPPR32V60.dll
MOD - [2011.03.16 23:11:16 | 004,297,568 | ---- | M] () -- C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE14\Cultures\office.odf
MOD - [2009.06.03 19:59:14 | 000,013,096 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvcPS.dll
MOD - [2009.06.03 19:59:02 | 000,619,816 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMediaLibrary.dll
MOD - [2009.02.27 15:38:20 | 000,139,264 | R--- | M] () -- C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll
MOD - [2006.08.12 11:48:40 | 000,049,152 | ---- | M] () -- C:\Program Files (x86)\Samsung\Easy Display Manager\HookDllPS2.dll
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.12.01 00:20:07 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.11.09 11:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.09.12 20:21:48 | 000,368,896 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Security Client\NisSrv.exe -- (NisSrv)
SRV - [2012.09.12 20:21:48 | 000,022,072 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2012.09.02 19:03:48 | 000,660,960 | ---- | M] () [Auto | Running] -- C:\ProgramData\IBUpdaterService\ibsvc.exe -- (IBUpdaterService)
SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.01.09 20:34:24 | 004,925,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.10.24 00:54:14 | 000,057,856 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2012.10.24 00:54:14 | 000,019,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV:64bit: - [2012.08.30 21:03:48 | 000,128,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\NisDrvWFP.sys -- (NisDrv)
DRV:64bit: - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.12.13 02:32:22 | 002,797,056 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\athrx.sys -- (athr)
DRV:64bit: - [2011.10.05 13:51:44 | 000,083,488 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)
DRV:64bit: - [2011.09.20 19:43:34 | 002,793,568 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\athwx.sys -- (AR5416)
DRV:64bit: - [2011.09.14 14:58:38 | 000,398,112 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\yk62x64.sys -- (yukonw7)
DRV:64bit: - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.11.20 14:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2009.05.28 14:38:04 | 000,013,824 | ---- | M] (SAMSUNG ELECTRONICS) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\SABI.sys -- (SABI)
DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.msn.com/?ocid=EIE9HP&PC=UP50
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=hp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = AF 66 D6 DC 90 88 CD 01  [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_135.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~2\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\amazon.com/AmazonMP3DownloaderPlugin: C:\Program Files (x86)\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin101753.dll (Amazon.com, Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.12.01 00:20:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.11.11 11:36:34 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\specialsavings@superfish.com: C:\Users\Pia Albrecht\AppData\Roaming\Mozilla\Firefox\Profiles/psex1rw3.default\extensions\specialsavings@superfish.com
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.12.01 00:20:08 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
 
[2012.09.01 23:16:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions
[2012.09.01 23:20:16 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\9xh2303k.default\extensions
[2013.01.09 01:22:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions
[2012.09.01 23:33:00 | 000,000,000 | ---D | M] (Xultris) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions\{bed1bcec-57d3-47e1-a32b-b4e5f3003019}
[2012.09.01 23:32:59 | 000,000,000 | ---D | M] (Wörterbuch Deutsch (de-DE), Hunspell-unterstützt) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions\de_DE@dicts.j3e.de
[2012.10.14 10:17:12 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions\de-DE@dictionaries.addons.mozilla.org
[2011.10.08 00:41:41 | 000,074,405 | ---- | M] () (No name found) -- C:\Users\***\AppData\Roaming\mozilla\firefox\profiles\psex1rw3.default\extensions\{bed1bcec-57d3-47e1-a32b-b4e5f3003019}.xpi
[2012.11.23 22:00:46 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\***\AppData\Roaming\mozilla\firefox\profiles\psex1rw3.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012.12.01 00:19:34 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.12.01 00:20:08 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.10.11 20:58:15 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.10.11 20:58:15 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.10.11 20:58:15 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.10.11 20:58:15 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.10.11 20:58:15 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.10.11 20:58:15 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2:64bit: - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Savings Sidekick) - {11111111-1111-1111-1111-110011501160} - C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.dll (215 Apps)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~3\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~3\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4:64bit: - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4:64bit: - HKLM..\Run: [NvCplDaemon] C:\Windows\SysNative\NvCpl.dll (NVIDIA Corporation)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [CLMLServer] C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
O4 - HKLM..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [PDFPrint] C:\Program Files (x86)\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Program Files (x86)\CyberLink\PowerDVD8\Language\Language.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RemoteControl8] C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdateLBPShortCut] C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdateP2GoShortCut] C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePDRShortCut] C:\Program Files (x86)\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePPShortCut] C:\Program Files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePSTShortCut] C:\Program Files (x86)\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8:64bit: - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O8:64bit: - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found
O9:64bit: - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AE43CB0D-9978-49C9-8EDA-B608B174A5D4}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CC6D46AE-DDC3-4316-8F73-97738449BD1A}: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18:64bit: - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28:64bit: - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~3\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.09 01:47:30 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Pia Albrecht\Desktop\OTL.exe
[2013.01.09 01:42:54 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\20130109
[2013.01.09 01:13:57 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes
[2013.01.09 01:12:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.01.09 01:12:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.01.09 01:12:52 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.01.09 01:12:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2013.01.09 01:10:48 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Programs
[2013.01.08 21:25:10 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD 8
[2013.01.04 00:09:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SpeedFan
[2013.01.03 23:06:29 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Wajam
[2013.01.03 23:05:37 | 000,000,000 | ---D | C] -- C:\ProgramData\APN
[2013.01.03 22:58:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Motherboard Monitor 5
[2012.12.16 13:00:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.12.16 13:00:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Skype
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.09 02:06:16 | 000,365,568 | ---- | M] () -- C:\Users\***\Desktop\gmer-2.0.18444.exe
[2013.01.09 01:47:30 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe
[2013.01.09 01:45:18 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable
[2013.01.09 01:41:29 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\Defogger.exe
[2013.01.09 01:12:53 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2013.01.09 01:11:23 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.01.09 01:11:23 | 000,654,166 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.01.09 01:11:23 | 000,616,008 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.01.09 01:11:23 | 000,130,006 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.01.09 01:11:23 | 000,106,388 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.01.08 21:32:07 | 000,013,760 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.01.08 21:32:07 | 000,013,760 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.01.08 21:23:37 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.01.08 21:22:49 | 3111,555,072 | -HS- | M] () -- C:\hiberfil.sys
[2013.01.04 00:09:09 | 000,000,045 | ---- | M] () -- C:\Windows\SysWow64\initdebug.nfo
[2012.12.21 10:16:58 | 000,427,840 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.12.16 13:00:47 | 000,002,517 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.12.14 16:49:28 | 000,024,176 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.09 02:06:15 | 000,365,568 | ---- | C] () -- C:\Users\***\Desktop\gmer-2.0.18444.exe
[2013.01.09 01:45:18 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable
[2013.01.09 01:41:29 | 000,050,477 | ---- | C] () -- C:\Users\***\Desktop\Defogger.exe
[2013.01.09 01:12:53 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2013.01.04 00:09:08 | 000,000,045 | ---- | C] () -- C:\Windows\SysWow64\initdebug.nfo
[2012.09.03 09:21:54 | 000,000,241 | ---- | C] () -- C:\Windows\Brpfx04a.ini
[2012.09.03 09:21:54 | 000,000,093 | ---- | C] () -- C:\Windows\brpcfx.ini
[2012.09.03 09:20:55 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2012.09.03 09:20:55 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2012.09.03 09:17:41 | 000,000,000 | ---- | C] () -- C:\Windows\brdfxspd.dat
[2012.09.02 21:23:46 | 000,000,002 | ---- | C] () -- C:\Windows\HotFixList.ini
[2012.09.02 19:25:27 | 000,000,000 | ---- | C] () -- C:\Windows\HPMProp.INI
[2012.09.01 22:40:28 | 001,500,444 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2012.12.07 15:09:27 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Amazon
[2012.12.02 11:55:37 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\JLAdventCalendarAlpine2012
[2012.10.31 23:20:39 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\JLAdventCalendarClassic2011
[2012.09.02 00:45:37 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\JLAdventCalendarLondon2011
[2012.09.01 23:04:56 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\pdfforge
[2012.09.01 23:37:18 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Thunderbird
 
========== Purity Check ==========
 
 

< End of report >
2. Extras

Code:
OTL Extras logfile created on: 09.01.2013 02:07:16 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\***\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,86 Gb Total Physical Memory | 1,95 Gb Available Physical Memory | 50,35% Memory free
7,73 Gb Paging File | 5,88 Gb Available in Paging File | 76,11% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 150,39 Gb Total Space | 112,91 Gb Free Space | 75,08% Space Free | Partition Type: NTFS
Drive D: | 315,27 Gb Total Space | 282,50 Gb Free Space | 89,61% Space Free | Partition Type: NTFS
 
Computer Name: PINK | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0E779B1A-4120-40EE-BFBD-BF0BE4ED7F8B}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{20665F67-2CE1-4B36-ADB7-5D7D000A1663}" = lport=138 | protocol=17 | dir=in | app=system |
"{232EDA45-F1A4-4807-BF5F-4A9C6ADE601C}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{263EFA2C-1BDB-4DCB-806B-BAC503F31997}" = lport=445 | protocol=6 | dir=in | app=system |
"{26C74827-0C09-4F24-9C16-3FA77C8CA536}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{2BA7F4CB-5CB5-46B1-99CF-DFF82BE78DD4}" = rport=137 | protocol=17 | dir=out | app=system |
"{2FCCF13E-2417-4144-8552-50B30FFBC497}" = rport=139 | protocol=6 | dir=out | app=system |
"{39337DCD-80FC-4303-AA28-C05F3151AE42}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{3C85EDE6-1842-41FC-BAEE-EE7FEB59717B}" = rport=10243 | protocol=6 | dir=out | app=system |
"{4725BBE2-47F0-4960-B8A7-21B84C61B8E5}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{48C37966-4598-42F7-A265-90D4C2732F47}" = lport=2869 | protocol=6 | dir=in | app=system |
"{5082192D-7016-49E9-A698-7E4AA84E1617}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{57C3D9BF-14D4-462F-81D5-C3E39F9050B4}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{5BA14985-60F7-488A-80D1-45F4BAC192AE}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{7C4E96AE-F2A9-4AF3-8093-C700B98C30F2}" = lport=137 | protocol=17 | dir=in | app=system |
"{81150E2D-64E9-493F-B8DC-9C355188F055}" = rport=138 | protocol=17 | dir=out | app=system |
"{8E97201E-37C5-49F2-AFBE-AB4848851947}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\outlook.exe |
"{9FE3F0F8-D83C-4866-84B9-CB51FC2CA21D}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{A721C789-3CB2-4E3E-A7B6-DA84AA688FCB}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{A975C81E-ED33-405F-B86D-1FB3C2065C65}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{CD54ED01-596B-40EC-9AE7-A4D91ABDC096}" = lport=10243 | protocol=6 | dir=in | app=system |
"{D012CA70-BD75-42F3-8CC4-FA1E5119FC74}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{F1A14BFB-E860-432D-B589-63A0ECCCEA04}" = lport=139 | protocol=6 | dir=in | app=system |
"{F71AB340-E423-4582-9178-023F1ED3B362}" = rport=445 | protocol=6 | dir=out | app=system |
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00818A32-CEC8-4918-A812-7DE4BA29CB66}" = protocol=6 | dir=in | app=c:\program files (x86)\sweetim\communicator\sweetpacksupdatemanager.exe |
"{03F58712-497D-4188-BD29-9A7588C4BED0}" = dir=in | app=c:\program files (x86)\cyberlink\powerdvd8\powerdvd8.exe |
"{27B11F11-492E-4025-B454-7B28F84EA7C5}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe |
"{2F82FC56-26DD-4152-A4A9-103CFF99C614}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{322F49A4-3E89-4DA4-86BE-BE05D2F72DA7}" = dir=in | app=c:\program files (x86)\common files\apple\apple application support\webkit2webprocess.exe |
"{330B6293-FFA9-4176-A16C-C9C487B8D4F8}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{3AC76464-A363-4493-8EDC-6B907F63E67E}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{3E187ADE-8E14-4EEA-804B-9BD27EBD7E0D}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{420733B1-2A83-4EA2-8AFA-801DD4C597F2}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{468B4194-908B-46BD-B451-463860C8F011}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{4825C8EB-81F3-4958-AD3B-51983403CF88}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe |
"{499D23E5-9D59-42B9-90F3-A09DCB272AB7}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{4F95E4B8-B609-4847-A89C-6761683526E1}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe |
"{53EAC81C-C2FF-4086-8823-75D4418DCBE2}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{587D6ED7-9FD9-4606-B035-62C8D1D9AA2F}" = dir=in | app=c:\program files (x86)\cyberlink\powerdirector\pdr.exe |
"{5CC77C25-507C-449D-9D37-FEDAC495CB2E}" = protocol=17 | dir=in | app=c:\program files (x86)\sweetim\communicator\sweetpacksupdatemanager.exe |
"{5E0756DD-10B7-4DD5-A256-B2502A985E0F}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{61FFBEE3-A8DD-46CD-8E7A-5B8124FE7264}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{776AFE87-85CE-463B-AA48-09040800D8B8}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{7900C459-3D50-40C2-99DA-8F2D44DDE276}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{931AAFF3-0227-485E-B919-2C5B7EDBE87D}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{C49D3784-C087-4DC0-B3AC-3CB7828BD65D}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{C579F04E-A95A-4EE9-B3F4-5FF2C736793D}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{C907A894-D26A-48C3-9806-F83D84E87627}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{D09274A0-C98E-432E-A4FD-DB757E66DA4B}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe |
"{D5E6B8FD-32FC-4217-9BF4-E14351D2805F}" = protocol=17 | dir=in | app=c:\windows\syswow64\msiexec.exe |
"{D75F654B-CF92-4270-BBC9-44D74A58BEAD}" = protocol=6 | dir=out | app=system |
"{F1D21D29-F4D7-47A4-A29C-A086131527C1}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{F4132ADA-F668-48EA-8E0E-E4DF4F3D2E2B}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{F4A3A9D7-6489-447B-8535-DC2BF1215F94}" = protocol=6 | dir=in | app=c:\windows\syswow64\msiexec.exe |
"{F4A4A18B-CC3F-483C-98DC-29809C260D03}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe |
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{377672F0-6B8A-467D-8DDC-79338BCCD531}" = 64 Bit HP CIO Components Installer
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90140000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2010
"{90140000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2010
"{C78D3032-9DFD-41D0-9DE9-58EAE750CBA4}" = Microsoft Security Client
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft Security Client" = Microsoft Security Essentials
"NVIDIA Drivers" = NVIDIA Drivers
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{14DC0059-00F1-4F62-BD1A-AB23CD51A95E}" = Adobe AIR
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{48D082B9-18F6-4426-AFAC-8B6A3E7021B1}" = Brother MFL-Pro Suite MFC-290C
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6A462C3E-955D-FFE1-ED19-268969DEBBBE}" = Jacquie Lawson Alpine Advent Calendar
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 4.9.0
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUSR_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUSR_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUSR_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0000-1000-0000000FF1CE}_Office14.PROPLUSR_{967EF02C-5C7E-4718-8FCB-BDC050190CCF}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0407-1000-0000000FF1CE}_Office14.PROPLUSR_{594128C9-2CDF-43CE-8103-DC100CF013B6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{91140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A19E1C26-6DAF-AFDC-4EFF-EFF7FA36F72D}" = Jacquie Lawson London Advent Calendar
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Deutsch
"{AF0CE7C0-A3E4-4D73-988B-B29187EC6E9A}" = QuickTime
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}" = Internet Explorer Toolbar 4.6 by SweetPacks
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F5266D28-E0B2-4130-BFC5-EE155AD514DC}" = Apple Application Support
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.17
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"InstallShield_{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"JLAdventCalendarAlpine2012" = Jacquie Lawson Alpine Advent Calendar
"JLAdventCalendarLondon2011" = Jacquie Lawson London Advent Calendar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Marvell Miniport Driver" = Marvell Miniport Driver
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"Mozilla Thunderbird 17.0 (x86 de)" = Mozilla Thunderbird 17.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NAVIGON Fresh" = NAVIGON Fresh 3.4.1
"Office14.PROPLUSR" = Microsoft Office Professional Plus 2010
"Savings Sidekick" = Savings Sidekick
"Updater Service" = Updater Service
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 20.11.2012 21:21:59 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:21:59.507]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
Error - 20.11.2012 21:22:01 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:01.051]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
Error - 20.11.2012 21:22:02 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:02.596]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
Error - 20.11.2012 21:22:04 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:04.140]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
Error - 20.11.2012 21:22:05 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:05.684]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
Error - 20.11.2012 21:22:07 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:07.229]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
Error - 20.11.2012 21:22:08 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:08.773]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
Error - 20.11.2012 21:22:10 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:10.318]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
Error - 20.11.2012 21:22:11 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:11.862]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
Error - 20.11.2012 21:22:13 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:13.406]: [00003328]: lperrcode->api
 = 1 , lperrcode->code = 2 
 
[ System Events ]
Error - 03.01.2013 18:40:42 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:42.698247900Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:40:42 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:42.764251600Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:40:42 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:42.898259300Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:40:43 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:43.099270800Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:40:43 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
 heruntergefahren.                Zeit für das Herunterfahren = 2013-01-03T22:40:43.300282300Z

              ACPI-Thermozone = ACPI\ThermalZone\TZ00                _CRT = 362K
 
Error - 03.01.2013 18:41:40 | Computer Name = PINK | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?03.?01.?2013 um 23:39:14 unerwartet heruntergefahren.
 
Error - 03.01.2013 18:42:07 | Computer Name = PINK | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  cdrom
 
Error - 04.01.2013 08:33:57 | Computer Name = PINK | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?04.?01.?2013 um 00:18:25 unerwartet heruntergefahren.
 
Error - 04.01.2013 08:34:45 | Computer Name = PINK | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  cdrom
 
Error - 08.01.2013 15:39:39 | Computer Name = PINK | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst ShellHWDetection erreicht.
 
 
< End of report >
3. Gmer

Code:
GMER 2.0.18444 - hxxp://www.gmer.net
Rootkit scan 2013-01-09 02:59:44
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 SAMSUNG_HN-M500MBB rev.2AR10001 465,76GB
Running: gmer-2.0.18444.exe; Driver: C:\Users\PIAALB~1\AppData\Local\Temp\pxldapoc.sys


---- User code sections - GMER 2.0 ----

.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17      00000000757a1401 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17        00000000757a1419 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17      00000000757a1431 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42      00000000757a144a 2 bytes [7A, 75]
.text    ...                                                                                                                            * 9
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17        00000000757a14dd 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17  00000000757a14f5 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17        00000000757a150d 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17  00000000757a1525 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17        00000000757a153d 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17            00000000757a1555 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17      00000000757a156d 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17        00000000757a1585 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17          00000000757a159d 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17        00000000757a15b5 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17      00000000757a15cd 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20  00000000757a16b2 2 bytes [7A, 75]
.text    C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31  00000000757a16bd 2 bytes [7A, 75]

---- Threads - GMER 2.0 ----

Thread  C:\ProgramData\IBUpdaterService\ibsvc.exe [1984:1996]                                                                          0000000010078d61
Thread  C:\ProgramData\IBUpdaterService\ibsvc.exe [1984:2016]                                                                          0000000010078d61
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:780]                                                          0000000067ec6f0a
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4360]                                                          00000000685f9b9b
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4424]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4432]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4420]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4416]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3272]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4412]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3900]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3312]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4340]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4336]                                                          0000000077022e25
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4900]                                                          00000000725027e1
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4892]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4876]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:900]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2344]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3040]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2892]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4320]                                                          00000000729427c1
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4992]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4580]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3896]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:1824]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2108]                                                          0000000077023e45
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:968]                                                          00000000696cc724
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2200]                                                          00000000728f46fa
Thread  C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2628]                                                          0000000077023e45
---- Processes - GMER 2.0 ----

Library  ? (*** suspicious ***) @ C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [4812]    000007fefed40000

---- Disk sectors - GMER 2.0 ----

Disk    \Device\Harddisk0\DR0                                                                                                          unknown MBR code

---- EOF - GMER 2.0 ----
4. malwarebytes

Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.08.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: PINK [Administrator]

09.01.2013 03:23:07
MBAM-log-2013-01-09 (04-08-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 334849
Laufzeit: 29 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> 1984 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 13
HKCR\CLSID\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{44444444-4444-4444-4444-440044504460} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCR\Interface\{55555555-5555-5555-5555-550055505560} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0005060.BHO.1 (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Savings Sidekick (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Updater Service (PUP.InstallBrain) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKCU\Software\InstalledBrowserExtensions\215 Apps|5060 (PUP.CrossFire.SA) -> Daten: Savings Sidekick -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\ProgramData\IBUpdaterService (PUP.InstallBrain) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.

Infizierte Dateien: 10
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.dll (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.exe (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings SidekickGui.exe (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Uninstall.exe (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> Keine Aktion durchgeführt.
C:\ProgramData\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings SidekickInstaller.log (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.ico (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.ini (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Savings Sidekick\Chrome\Savings Sidekick.crx (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt.

(Ende)
I'm so sorry! - Ich schäme mich ja sooo sehr! Das kann ich gar nicht in Worte fassen!

Ich gelobe Besserung!
Versprochen!

MfG
Pia A. aka. -Hicks-

cosinus 12.01.2013 15:56
Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

-Hicks- 12.01.2013 17:55
Hallo Cosinus,

hoffentlich strapaziere ich nicht Deine Nerven!!! :wtf:

Nun ist schon wieder alles anders! :headbang:

Ich habe heute wider Erwarten ein neues Laptop bekommen :singsing: und mache dieses hier nun platt! :killpc:

Vielen dank Dir für Deine Mühen!

Ich möchte Dir / Euch einen Obolus zukommen lassen - sagen wir 30,-€ - ist das i.O.? :applaus:

Mit freundlichem Gruß
Pia A. aka. -Hicks- :heilig:

cosinus 13.01.2013 19:18
Schon ok ;) und danke für die großzügige Spende :dankeschoen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131