| Chris_tian | 12.02.2013 23:55 |
Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?
Hallo Trojaner Board Team,
anfangen möchte ich mit einem Lob: Ich finde es klasse was ihr hier macht!
Nun zu meinem Problem bzw. zu meiner Frage. Eines meiner Familienmitglieder hat heute eine Mahnungs-E-Mail (Absender: paullower@web.de, vom 9.2.2013) gelesen. Es geht darin um eine Rechnung von Mährobotern. Trotz absurdem Grund, geleitet von Neugier wurde der .zip Anhang herunter geladen. Inerhalb des .zip Archiv war eine 20 kb große .exe Datei. Leider war der User sich nicht sicher, ob er die .exe Datei doppelt angeklickt hat oder nicht - jedenfalls war sie im Explorer auf einmal auch nicht mehr auffindbar.
Daraufhin wurde eine gesamte Systemüberprüfung mit Avira Free Antivirus durchgeführt. Dabei wurde der im Titel genannten Trojaner "TR/Rogue.KD.853855.1" gefunden und in die Quarantäne verschoben. Das Notebook funktioniert soweit normal, es gibt keine Abstürze oder sonstiges auffälliges Verhalten, soweit ich das beurteilen kann.
Eine kleine Zusatzinfo noch: Der Avira Echtzeitscanner müsste die ganze Zeit aktiv gewesen sein.
Meine Frage ist nun: Kann das System nun wieder als "sauber" angesehen werden, oder sollten noch weitere Aktionen zur Sicherheit folgen?
Hier die Log-Dateien:
Avira Antivirus: Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 12. Februar 2013 18:24
Es wird nach 4991194 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : ***-PC
Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 16.11.2012 08:14:06
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 07:28:26
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 07:28:27
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 10.05.2012 06:29:53
AVREG.DLL : 12.3.0.17 232200 Bytes 14.05.2012 21:26:14
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 23:09:52
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 06:22:16
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:21:39
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 19:08:57
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 13:25:58
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:16:15
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:16:15
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:16:15
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:16:15
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:16:16
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 17:16:19
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 17:16:20
VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 17:16:22
VBASE016.VDF : 7.11.60.178 2048 Bytes 11.02.2013 17:16:23
VBASE017.VDF : 7.11.60.179 2048 Bytes 11.02.2013 17:16:23
VBASE018.VDF : 7.11.60.180 2048 Bytes 11.02.2013 17:16:23
VBASE019.VDF : 7.11.60.181 2048 Bytes 11.02.2013 17:16:23
VBASE020.VDF : 7.11.60.182 2048 Bytes 11.02.2013 17:16:23
VBASE021.VDF : 7.11.60.183 2048 Bytes 11.02.2013 17:16:23
VBASE022.VDF : 7.11.60.184 2048 Bytes 11.02.2013 17:16:23
VBASE023.VDF : 7.11.60.185 2048 Bytes 11.02.2013 17:16:23
VBASE024.VDF : 7.11.60.186 2048 Bytes 11.02.2013 17:16:24
VBASE025.VDF : 7.11.60.187 2048 Bytes 11.02.2013 17:16:24
VBASE026.VDF : 7.11.60.188 2048 Bytes 11.02.2013 17:16:24
VBASE027.VDF : 7.11.60.189 2048 Bytes 11.02.2013 17:16:24
VBASE028.VDF : 7.11.60.190 2048 Bytes 11.02.2013 17:16:24
VBASE029.VDF : 7.11.60.191 2048 Bytes 11.02.2013 17:16:24
VBASE030.VDF : 7.11.60.192 2048 Bytes 11.02.2013 17:16:24
VBASE031.VDF : 7.11.60.224 138240 Bytes 12.02.2013 17:16:26
Engineversion : 8.2.10.250
AEVDF.DLL : 8.1.2.10 102772 Bytes 12.07.2012 20:55:24
AESCRIPT.DLL : 8.1.4.88 471417 Bytes 12.02.2013 17:16:48
AESCN.DLL : 8.1.10.0 131445 Bytes 17.12.2012 08:45:08
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 07:13:53
AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 22:59:33
AEPACK.DLL : 8.3.1.2 819574 Bytes 26.12.2012 19:08:56
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 06.11.2012 11:30:40
AEHEUR.DLL : 8.1.4.198 5751159 Bytes 12.02.2013 17:16:46
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 16:57:54
AEGEN.DLL : 8.1.6.16 434549 Bytes 24.01.2013 22:04:22
AEEXP.DLL : 8.3.0.24 188787 Bytes 12.02.2013 17:16:49
AEEMU.DLL : 8.1.3.2 393587 Bytes 12.07.2012 20:55:18
AECORE.DLL : 8.1.30.0 201079 Bytes 17.12.2012 08:44:57
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 11:30:18
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 07:28:26
AVPREF.DLL : 12.3.0.32 50720 Bytes 16.11.2012 08:14:04
AVREP.DLL : 12.3.0.15 179208 Bytes 10.05.2012 06:29:53
AVARKT.DLL : 12.3.0.33 209696 Bytes 16.11.2012 08:14:01
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 07:28:26
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 07:28:27
AVSMTP.DLL : 12.3.0.32 63480 Bytes 09.09.2012 19:09:54
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 07:28:27
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 09.09.2012 19:08:15
RCTEXT.DLL : 12.3.0.32 98848 Bytes 16.11.2012 08:13:28
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, Q:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Dienstag, 12. Februar 2013 18:24
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'IgrsSvcs.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil32_11_5_502_146_ActiveX.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarUser_32.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '140' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'Energy Management.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'utility.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'YouCamTray.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PManage.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'cAudioFilterAgent.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '175' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'atibtmon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1364' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YNP1FERA\*** *** Details Mahnung 09.02.2013.zip
[0] Archivtyp: ZIP
--> Offene Rechnung vom 09.02.2013.zip
[1] Archivtyp: ZIP
--> Offene Rechnung vom 09.02.2013.com
[FUND] Ist das Trojanische Pferd TR/Rogue.KD.853855.1
Beginne mit der Suche in 'D:\' <LENOVO>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert
Beginne mit der Desinfektion:
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YNP1FERA\*** *** Details Mahnung 09.02.2013.zip
[FUND] Ist das Trojanische Pferd TR/Rogue.KD.853855.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '524e2ecd.qua' verschoben!
Ende des Suchlaufs: Dienstag, 12. Februar 2013 19:45
Benötigte Zeit: 1:11:33 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
19819 Verzeichnisse wurden überprüft
264225 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
264224 Dateien ohne Befall
1456 Archive wurden durchsucht
0 Warnungen
1 Hinweise
411975 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
OTL.txt: Code:
OTL logfile created on: 12.02.2013 21:42:56 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\***\Desktop\Malware Tools
Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,75 Gb Total Physical Memory | 0,88 Gb Available Physical Memory | 50,29% Memory free
3,49 Gb Paging File | 2,00 Gb Available in Paging File | 57,35% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 254,14 Gb Total Space | 196,76 Gb Free Space | 77,42% Space Free | Partition Type: NTFS
Drive D: | 29,00 Gb Total Space | 28,15 Gb Free Space | 97,08% Space Free | Partition Type: NTFS
Computer Name: ***-PC | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Processes (SafeList) ==========
PRC - [2013.02.12 20:21:33 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\Malware Tools\Defogger.exe
PRC - [2013.02.12 19:53:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\Malware Tools\OTL.exe
PRC - [2013.01.16 09:03:00 | 000,308,368 | ---- | M] (Google Inc.) -- C:\Programme\Google\Google Toolbar\GoogleToolbarUser_32.exe
PRC - [2013.01.13 16:13:11 | 000,699,400 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\Macromed\Flash\FlashUtil32_11_5_502_146_ActiveX.exe
PRC - [2012.11.30 04:07:41 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2012.11.16 17:33:24 | 000,757,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Internet Explorer\iexplore.exe
PRC - [2012.09.09 20:09:50 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.08 08:28:27 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.08 08:28:26 | 000,391,632 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avcenter.exe
PRC - [2012.05.08 08:28:26 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.08 08:28:26 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.01.04 14:22:40 | 000,822,624 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE
PRC - [2011.10.13 17:21:52 | 000,249,648 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\BingBar\SeaPort.EXE
PRC - [2011.10.01 08:30:42 | 000,219,496 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Application Virtualization Client\sftvsa.exe
PRC - [2011.10.01 08:30:36 | 000,508,776 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Application Virtualization Client\sftlist.exe
PRC - [2011.02.26 06:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.07.26 13:58:56 | 003,122,528 | ---- | M] (Lenovo) -- C:\Programme\Lenovo\VeriFace\PManage.exe
PRC - [2010.03.10 08:44:56 | 000,496,184 | ---- | M] (Conexant Systems, Inc.) -- C:\Programme\CONEXANT\cAudioFilterAgent\cAudioFilterAgent.exe
PRC - [2010.03.03 05:12:32 | 000,372,736 | ---- | M] (AMD) -- C:\Windows\System32\atieclxx.exe
PRC - [2010.03.03 05:11:58 | 000,172,032 | ---- | M] (AMD) -- C:\Windows\System32\atiesrxx.exe
PRC - [2009.12.22 13:40:58 | 000,167,008 | ---- | M] (CyberLink Corp.) -- C:\Programme\Lenovo\YouCam\YouCamTray.exe
PRC - [2009.12.17 07:33:56 | 004,114,368 | ---- | M] (Lenovo(beijing) Limited) -- C:\Programme\Lenovo\Energy Management\utility.exe
PRC - [2009.12.17 07:31:22 | 006,223,808 | ---- | M] (Lenovo (Beijing) Limited) -- C:\Programme\Lenovo\Energy Management\Energy Management.exe
PRC - [2009.07.14 02:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2009.07.14 02:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009.07.14 02:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\IgrsSvcs.exe
PRC - [2009.07.14 02:14:24 | 000,157,184 | ---- | M] (Microsoft Corporation) -- c:\Programme\Windows Defender\MpCmdRun.exe
========== Modules (No Company Name) ==========
MOD - [2013.02.12 20:21:33 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\Malware Tools\Defogger.exe
MOD - [2013.01.26 03:35:06 | 000,460,240 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\ppGoogleNaClPluginChrome.dll
MOD - [2013.01.26 03:35:04 | 004,012,496 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\pdf.dll
MOD - [2013.01.26 03:34:19 | 000,597,968 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\libglesv2.dll
MOD - [2013.01.26 03:34:18 | 000,124,368 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\libegl.dll
MOD - [2013.01.26 03:34:16 | 001,552,848 | ---- | M] () -- C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\ffmpegsumo.dll
MOD - [2010.07.26 13:58:54 | 001,410,400 | ---- | M] () -- C:\Windows\System32\IcnOvrly.dll
MOD - [2010.07.26 13:58:54 | 000,492,896 | ---- | M] () -- C:\Programme\Lenovo\VeriFace\ChooseLang.dll
MOD - [2010.07.26 13:58:53 | 000,513,376 | ---- | M] () -- C:\Windows\System32\SimpleExt.dll
MOD - [2009.06.05 17:36:48 | 000,217,088 | ---- | M] () -- C:\Windows\System32\370prop.ax
MOD - [2008.12.20 04:20:50 | 000,063,304 | ---- | M] () -- C:\Programme\Lenovo\Energy Management\KbdHook.dll
MOD - [2008.12.20 04:20:08 | 000,051,016 | ---- | M] () -- C:\Programme\Lenovo\Energy Management\HookLib.dll
========== Services (SafeList) ==========
SRV - [2013.01.13 16:13:13 | 000,251,400 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.10.19 16:14:08 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.05.08 08:28:27 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.08 08:28:26 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.01.04 14:22:40 | 000,822,624 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE -- (cvhsvc)
SRV - [2011.10.21 15:23:42 | 000,196,176 | ---- | M] (Microsoft Corporation.) [Auto | Stopped] -- C:\Programme\Microsoft\BingBar\BBSvc.EXE -- (BBSvc)
SRV - [2011.10.13 17:21:52 | 000,249,648 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\BingBar\SeaPort.EXE -- (BBUpdate)
SRV - [2011.10.01 08:30:42 | 000,219,496 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)
SRV - [2011.10.01 08:30:36 | 000,508,776 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)
SRV - [2010.03.03 05:11:58 | 000,172,032 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 21:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.11.17 16:00:54 | 000,575,304 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Programme\Lenovo\ReadyComm\ConnSvc.exe -- (Lenovo ReadyComm ConnSvc)
SRV - [2009.08.14 15:22:48 | 000,509,192 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Programme\Lenovo\ReadyComm\AppSvc.exe -- (Lenovo ReadyComm AppSvc)
SRV - [2009.07.16 19:12:42 | 000,276,296 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Programme\Lenovo\ReadyComm\PS_MDP.dll -- (PS_MDP)
SRV - [2009.07.15 06:27:26 | 000,038,152 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Programme\Lenovo\ReadyComm\common\IGRS.exe -- (IGRS)
SRV - [2009.07.15 06:27:20 | 000,103,688 | ---- | M] (Lenovo Group Limited) [Auto | Running] -- C:\Programme\Lenovo\ReadyComm\common\router.dll -- (ReadyComm.DirectRouter)
SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009.07.14 02:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService)
DRV - [2012.05.08 08:28:27 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.08 08:28:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.01 08:30:42 | 000,019,304 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Sftvollh.sys -- (Sftvol)
DRV - [2011.10.01 08:30:40 | 000,021,864 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\Sftredirlh.sys -- (Sftredir)
DRV - [2011.10.01 08:30:38 | 000,194,408 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Sftplaylh.sys -- (Sftplay)
DRV - [2011.10.01 08:30:36 | 000,579,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Sftfslh.sys -- (Sftfs)
DRV - [2011.09.16 16:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.05.13 03:21:06 | 000,136,808 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdm.sys -- (ssadmdm)
DRV - [2011.05.13 03:21:06 | 000,121,064 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadbus.sys -- (ssadbus)
DRV - [2011.05.13 03:21:06 | 000,114,280 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadserd.sys -- (ssadserd)
DRV - [2011.05.13 03:21:06 | 000,012,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdfl.sys -- (ssadmdfl)
DRV - [2011.05.13 03:21:04 | 000,030,312 | ---- | M] (Google Inc) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadadb.sys -- (androidusb)
DRV - [2010.03.24 10:57:16 | 000,191,008 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\RtsUStor.sys -- (RSUSBSTOR)
DRV - [2010.03.03 05:22:26 | 005,340,160 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atipmdag.sys -- (amdkmdag)
DRV - [2010.03.03 04:07:16 | 000,152,064 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmpag.sys -- (amdkmdap)
DRV - [2010.01.18 10:45:00 | 000,514,104 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CHDRT32.sys -- (CnxtHdAudService)
DRV - [2009.12.22 03:26:36 | 000,030,392 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\usbfilter.sys -- (usbfilter)
DRV - [2009.11.13 10:47:50 | 000,058,368 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\L1C62x86.sys -- (L1C)
DRV - [2009.10.16 19:37:30 | 000,171,776 | ---- | M] (SMI) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\SMIksdrv.sys -- (usbsmi)
DRV - [2009.10.08 16:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.09.03 11:16:14 | 000,021,256 | ---- | M] (Lenovo Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AcpiVpc.sys -- (ACPIVPC)
DRV - [2009.08.23 23:55:32 | 000,014,392 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\AtiPcie.sys -- (AtiPcie)
DRV - [2009.07.28 22:09:36 | 000,063,240 | ---- | M] (Lenovo) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\wdbridge.sys -- (Bridge0)
DRV - [2009.07.21 22:14:58 | 000,081,704 | ---- | M] (CyberLink) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\wsvd.sys -- (wsvd)
DRV - [2009.07.16 13:37:14 | 000,011,792 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\WDMirror.sys -- (wdmirror)
DRV - [2009.07.14 00:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2009.07.13 23:02:51 | 004,231,168 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\netw5v32.sys -- (netw5v32)
DRV - [2009.07.13 23:02:49 | 000,229,888 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\k57nd60x.sys -- (k57nd60x)
DRV - [2008.08.06 13:34:16 | 000,128,104 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\WimFltr.sys -- (WimFltr)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.chatzum.com/
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://search.chatzum.com/?q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = 04 00 2A 02 0D 00 00 00 E3 59 FE 02 01 00 00 80 06 00 2A 02 00 00 00 00 [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\..\SearchScopes,DefaultScope = {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.chatzum.com/?q={searchTerms}
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ADFA_deDE412
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = hxxp://search.chatzum.com/?q={SearchTerms}
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = hxxp://mystart.incredibar.com/mb188/?search={searchTerms}&loc=IB_DS&a=6R8FbJ2ArX&i=26
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
========== FireFox ==========
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\***\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\***\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox
[2012.09.15 00:05:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
========== Chrome ==========
CHR - homepage: hxxp://www.google.de/
CHR - default_search_provider: ChatZum Web Search (Enabled)
CHR - default_search_provider: search_url = hxxp://search.chatzum.com/?q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.de/
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\pdf.dll
CHR - plugin: Google Gears 0.5.33.0 (Enabled) = C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\gears.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Users\***\AppData\Local\Google\Chrome\Application\24.0.1312.57\gcswf32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
CHR - plugin: Windows Live\\u00AE Photo Gallery (Enabled) = C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\3.0.40624.0\npctrl.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: New Tab = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\dnpmlnedpdikbgdghljdepnljfpkhccn\1.0.1_0\
CHR - Extension: AT_LukasHudec = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifdgcflnbjihdfafceknjpidanddhnjb\3_0\
CHR - Extension: ChatZum.com - Easy Pictures zoom = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbpcjmidkkgldeplajgnbpjkfpmpeepb\1.0.9_0\
CHR - Extension: New tab for Chrome\u2122 = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg\1.0.0_0\
CHR - Extension: DvdVideoSoft Free Youtube Download = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikpibnbobmbdbheedjfogjlikpgpnhp\1.0.0.0_0\
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [cAudioFilterAgent] C:\Programme\CONEXANT\cAudioFilterAgent\cAudioFilterAgent.exe (Conexant Systems, Inc.)
O4 - HKLM..\Run: [Energy Management] C:\Programme\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited)
O4 - HKLM..\Run: [EnergyUtility] C:\Programme\Lenovo\Energy Management\utility.exe (Lenovo(beijing) Limited)
O4 - HKLM..\Run: [UCam_Menu] C:\Program Files\Lenovo\YouCam\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdateP2GShortCut] C:\Program Files\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [VeriFaceManager] C:\Programme\Lenovo\VeriFace\PManage.exe (Lenovo)
O4 - HKLM..\Run: [YouCam Mirror Tray icon] C:\Program Files\Lenovo\YouCam\YouCamTray.exe (CyberLink Corp.)
O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\windows\System32\Macromed\Flash\FlashUtil32_11_5_502_146_ActiveX.exe (Adobe Systems Incorporated)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: Free YouTube Download - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E60E4F78-AD98-48FD-96E8-E0A1352F1B8A}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
========== Files/Folders - Created Within 30 Days ==========
[2013.02.12 21:41:00 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Malware Tools
[2013.02.12 19:43:17 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\Trojaner Fund 20130212
[2013.01.17 01:18:53 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Systweak
[2013.01.17 01:18:50 | 000,018,952 | ---- | C] (Systweak Inc., (www.systweak.com)) -- C:\windows\System32\roboot.exe
========== Files - Modified Within 30 Days ==========
[2013.02.12 21:41:39 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable
[2013.02.12 21:01:11 | 000,001,096 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.12 20:50:00 | 000,000,884 | ---- | M] () -- C:\windows\tasks\Adobe Flash Player Updater.job
[2013.02.12 20:47:11 | 000,001,120 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3794133721-3255757827-3936631141-1000UA.job
[2013.02.12 20:01:00 | 000,001,092 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.12 19:15:00 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2013.02.12 18:18:53 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.12 18:18:53 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.12 18:09:11 | 1406,300,160 | -HS- | M] () -- C:\hiberfil.sys
[2013.02.04 01:32:14 | 000,001,068 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3794133721-3255757827-3936631141-1000Core.job
[2013.02.04 01:27:08 | 000,002,368 | ---- | M] () -- C:\Users\***\Desktop\Google Chrome.lnk
[2013.02.04 01:24:27 | 000,654,844 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2013.02.04 01:24:27 | 000,616,686 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2013.02.04 01:24:27 | 000,130,426 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2013.02.04 01:24:27 | 000,106,808 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2013.01.13 23:44:34 | 007,366,659 | ---- | M] () -- C:\Users\***\Documents\La Garriga Is Playing For Change Too ( Somewhere Over The Rainbow).mp3
========== Files Created - No Company Name ==========
[2013.02.12 21:41:39 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable
[2013.01.13 23:43:11 | 007,366,659 | ---- | C] () -- C:\Users\***\Documents\La Garriga Is Playing For Change Too ( Somewhere Over The Rainbow).mp3
[2011.07.28 23:13:58 | 000,000,017 | ---- | C] () -- C:\Users\***\AppData\Local\resmon.resmoncfg
[2010.12.30 16:57:23 | 000,000,732 | ---- | C] () -- C:\ProgramData\profile.xml
========== ZeroAccess Check ==========
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
========== LOP Check ==========
[2010.12.30 19:02:13 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\ArcSyncConfig
[2012.09.15 00:11:23 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Babylon
[2012.09.15 00:47:45 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\DVDVideoSoft
[2012.09.15 00:47:38 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers
[2012.09.15 00:14:41 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\eType
[2012.12.13 01:40:49 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\SoftGrid Client
[2013.01.26 12:28:30 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Systweak
[2012.01.24 00:07:17 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\TP
========== Purity Check ==========
< End of report >
Extras.txt: Code:
OTL Extras logfile created on: 12.02.2013 21:42:56 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\***\Desktop\Malware Tools
Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,75 Gb Total Physical Memory | 0,88 Gb Available Physical Memory | 50,29% Memory free
3,49 Gb Paging File | 2,00 Gb Available in Paging File | 57,35% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 254,14 Gb Total Space | 196,76 Gb Free Space | 77,42% Space Free | Partition Type: NTFS
Drive D: | 29,00 Gb Total Space | 28,15 Gb Free Space | 97,08% Space Free | Partition Type: NTFS
Computer Name: ***-PC | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
========== Authorized Applications List ==========
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{175EECD0-B26F-40B3-92F6-CF86915CD0AB}" = rport=10243 | protocol=6 | dir=out | app=system |
"{20F4B0DD-0F81-4243-B62E-9B011CC16CFB}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{235A4D5A-715F-45A4-A05C-4FAAAE4D20FE}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{4030F5D0-C546-4B9D-8490-9BFF63E94FA4}" = lport=138 | protocol=17 | dir=in | app=system |
"{4293CBB8-386F-405E-ADF4-FA78946665FD}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{5311682E-699D-40A3-B5B9-D775B0E802FC}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{54ED8F95-6C88-4279-846F-8C748105987B}" = lport=2869 | protocol=6 | dir=in | app=system |
"{64E557BD-8457-4CEB-B86A-38A130309EF9}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{6C5C25F5-788A-4CD5-807F-2497A4C0CDD9}" = lport=137 | protocol=17 | dir=in | app=system |
"{6CDE09E0-46C2-49A3-8E19-C44C10DB2A09}" = rport=137 | protocol=17 | dir=out | app=system |
"{8DD566BD-225B-4AF0-AC29-72838200CF09}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe |
"{9CD45F03-FE1E-463B-9742-D1E1F9EE52A9}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{C1C753E3-80EC-464F-8745-15CC16B2EB1E}" = rport=445 | protocol=6 | dir=out | app=system |
"{D311C2BF-3980-467C-B787-37E82EF66772}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{DD352D15-5EFD-43F8-8F60-F4D44A2C90FC}" = lport=139 | protocol=6 | dir=in | app=system |
"{DF5BAEE0-8E87-4CD2-BB0C-C9DEEBA7E65B}" = rport=138 | protocol=17 | dir=out | app=system |
"{E5DF085A-03AE-481D-B922-B5ECD39C783A}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{EE660A76-1E3A-4C8D-B6D4-EA8F70D58685}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{EF2B7370-A545-4F95-B5BE-AE5813BC88D0}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{EF7E27C2-8B18-41A3-BDFE-545110688DAE}" = lport=445 | protocol=6 | dir=in | app=system |
"{F9F8115F-52D5-4C4D-864E-EA630BC302D5}" = lport=10243 | protocol=6 | dir=in | app=system |
"{FC27F88E-EEA3-4BC1-B951-13D16D576687}" = rport=139 | protocol=6 | dir=out | app=system |
"{FE79CFFA-1174-4BB8-ABCD-347031A3B0D7}" = lport=2869 | protocol=6 | dir=in | app=system |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{03A4EBC5-C60E-4033-82F2-DA991D99E888}" = dir=out | app=c:\program files\lenovo\readycomm\projectionist.exe |
"{074A78C4-6F6E-4587-8930-3ED37BE1EE47}" = dir=out | app=c:\program files\lenovo\readycomm\common\igrs.exe |
"{0BC7CEBC-8216-40CA-A8FB-21949F632B3E}" = dir=in | app=c:\program files\windows live\sync\windowslivesync.exe |
"{186D97F2-5D45-4902-A5FF-2495026E9234}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{1A5AB972-F9A1-4B0E-8937-B4475D1BF488}" = dir=in | app=c:\program files\lenovo\readycomm\connsvc.exe |
"{1D9CD68A-2148-4D04-97D5-130B11B14081}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{1F5AC169-F6BC-4F07-BDB5-F6807B4B52A9}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{21640561-F9AF-4C42-8117-A304034B1448}" = protocol=6 | dir=out | app=system |
"{26974C83-0630-4A7C-8B87-638C27F2F793}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{385B429E-A736-4AA8-A62C-CD587EBFE81B}" = dir=in | app=c:\program files\lenovo\readycomm\readycom.exe |
"{38E08361-5A8E-4A3A-91A5-775328550E25}" = dir=in | app=c:\program files\common files\mcafee\mna\mcnasvc.exe |
"{3B504BF8-155E-4DE8-9326-F66FCBD42F58}" = dir=in | app=c:\program files\windows live\messenger\wlcsdk.exe |
"{3BCB44DB-0588-4FC3-BB25-8C57C476AD1C}" = protocol=6 | dir=in | app=c:\program files\common files\mcafee\mcsvchost\mcsvhost.exe |
"{43B5E7B3-AD92-4804-B5C7-FFEA50E9E552}" = dir=out | app=c:\program files\lenovo\readycomm\readycomm.exe |
"{4463FACA-4824-4C15-B21C-47CA18226B2C}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{4D4CCB3E-2AAA-44DD-B58B-894FB16795AC}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{5029B0BF-32BF-42BC-8682-53724A32B0D7}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{5A98DF0D-68CC-49BC-B863-D9C0C28A7EFB}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{7331D09B-270E-4C16-A8AF-4C1379E526A1}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe |
"{83C6BFFA-7300-4A33-AB3E-F3D5BF377716}" = dir=out | app=c:\program files\lenovo\readycomm\common\igrs.exe |
"{85668914-CC48-4E82-97A8-F99E306E44A8}" = dir=in | app=c:\windows\system32\igrssvcs.exe |
"{8581ADE3-C2E5-4D95-AA50-1F862781DA9A}" = dir=in | app=c:\program files\lenovo\readycomm\common\igrs.exe |
"{8F671965-7C4A-4A6B-8A3E-84BF8205B624}" = dir=out | app=c:\windows\system32\igrssvcs.exe |
"{90C33DF9-EE03-4C2D-BCE2-A05228A4A46F}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{A4E1E954-5FD2-4913-B915-7CDA414F0ACF}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{A596199C-93CE-4B87-8586-51D01427E75B}" = protocol=17 | dir=in | app=c:\program files\common files\mcafee\mcsvchost\mcsvhost.exe |
"{AFF0792C-F60A-480B-9C92-937D938BCBB4}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{B410F770-B054-4561-B8F0-DC4BC5420028}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{B7DC7E91-8388-4D55-BC2F-4764253CEB33}" = dir=in | app=c:\program files\lenovo\readycomm\appsvc.exe |
"{C2F768FA-87B3-412F-BE0B-85CFEBA6B0A1}" = dir=out | app=c:\program files\lenovo\readycomm\connsvc.exe |
"{CD3BAAB6-041A-4B9C-9C1F-C7FADC22C7A5}" = dir=in | app=c:\program files\lenovo\readycomm\common\igrs.exe |
"{E3609A76-0DF4-4FF1-9609-562DAFD51DCD}" = dir=out | app=c:\program files\lenovo\readycomm\appsvc.exe |
"{E41C6AEE-5D9A-4E1B-B5C6-478E1EE0494D}" = dir=in | app=c:\program files\lenovo\readycomm\projectionist.exe |
"{EBF2FD7F-16A8-4A4F-86D1-5D51506237AF}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{F2B28BD7-DEEE-4EEB-9145-526B2A98FEB3}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{F518B621-15DF-44CC-9A29-94B0A8586F70}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{F7D710A8-24DE-4306-8BA3-6C73621C94CE}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{17542DBF-E17C-4562-BC4D-FA3EF3076C45}" = Lenovo ReadyComm 5
"{1755A94E-CA3D-056D-6EBF-F56CBAAA690C}" = CCC Help Portuguese
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{23E45635-6E09-B210-BA84-F0A8A4330539}" = Catalyst Control Center Localization All
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
"{3A41C53D-EE2B-9347-D41D-A59AEB302C53}" = CCC Help Chinese Standard
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3E692081-0878-8C80-6AA6-F4B8E5EB9BE3}" = CCC Help Finnish
"{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4229CF5A-95F2-023E-690F-BB5572544BA4}" = CCC Help Hungarian
"{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"{4F1E50D8-D105-7A9E-ACF6-A713447975C7}" = CCC Help Thai
"{520F7B12-0792-AD52-29DD-7B9E93FB1A2B}" = CCC Help Chinese Traditional
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{59DF04B0-A502-0031-C829-0A99D7D25502}" = Catalyst Control Center InstallProxy
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{62AFBC6C-70D4-7E8C-3BC4-FDB060A98DFC}" = CCC Help Dutch
"{69291733-6411-C3F7-7B9C-77D75A7AF58B}" = CCC Help Norwegian
"{6FCBA778-04AA-23B0-1279-42B85CA24C43}" = CCC Help Swedish
"{7064B255-EC91-7EC1-6640-A84C123508E9}" = Catalyst Control Center Graphics Light
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{76C66170-C538-4E77-B54D-48E136B5B533}" = Lenovo ReadyComm 5.0 Service
"{76D68A9E-5939-41F2-D22E-6C0045590A00}" = CCC Help Czech
"{86B2FD80-64BB-E002-ECF3-1C1E6105320C}" = CCC Help Turkish
"{8871F50A-D92D-07BE-6BB8-EB6D6B03ACBB}" = ccc-utility
"{8991E763-21F5-4DEA-A938-5D9D77DCB488}" = Broadcom 802.11 Wireless Driver
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{90140000-006D-0407-0000-0000000FF1CE}" = Microsoft Office Klick-und-Los 2010
"{90140011-0066-0407-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Deutsch
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"{962C911E-70BB-3530-1349-A31BEDD5515C}" = CCC Help Italian
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = Realtek USB 2.0 Card Reader
"{987B04C4-B5AC-4AD6-A7E9-8D681085B850}" = AMD USB Filter Driver
"{9A7124E8-7C79-F2CC-0B4C-44859C384DD4}" = CCC Help Greek
"{9BA1808F-4C75-BDFB-E798-755B4F3F22A2}" = CCC Help Japanese
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D5740C5-02C8-3C0E-C4BB-A8C2A82C6A52}" = CCC Help Danish
"{A5090413-2251-C33A-6359-CEE203950A5F}" = CCC Help Polish
"{A919F9D2-0F0E-C3B3-7ACF-343B46CFF804}" = CCC Help Spanish
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{ABD43020-578D-26E4-2D96-04E0A7E44526}" = CCC Help German
"{AC76BA86-7AD7-1031-7B44-A90100000001}" = Adobe Reader 9.0.1 - Deutsch
"{AE1E24C2-E720-42D5-B8E1-48F71A97B4DB}" = Energy Management
"{B2164CCB-C002-4B80-8550-7535D80DF237}" = Lenovo DirectShare
"{B4089055-D468-45A4-A6BA-5A138DD715FC}" = Bing Bar
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{D31C5DD0-00AD-3643-CFD2-BE37C8840528}" = CCC Help French
"{DAD1693D-3C1B-5D29-E44F-96D2362738F3}" = ATI Catalyst Install Manager
"{DB01AC75-7AA5-2F83-D72B-3A914321A030}" = ccc-core-static
"{DCBD3FBC-56C8-24E0-C82E-1ECB0AEB172E}" = CCC Help Korean
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E30378BA-E43E-E4F8-0D35-53C9C0B2A96A}" = Catalyst Control Center Graphics Full Existing
"{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}" = BabylonObjectInstaller
"{E606D21C-225C-D58E-3497-671288A31AF0}" = CCC Help Russian
"{E9388FCD-B25B-D45B-EFDB-954DE076A417}" = CCC Help English
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"{ECB1C736-4151-6B4D-7CF0-A54B65430461}" = Catalyst Control Center Core Implementation
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F542E678-739D-FFCC-A8D1-E42AE775BFFE}" = Catalyst Control Center Graphics Previews Common
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FE7AD27A-62B1-44F6-B69C-25D1ECA94F5D}" = Lenovo EasyCamera
"{FFBEBE24-6961-C161-22CD-EFD23F50DF65}" = Catalyst Control Center Graphics Full New
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"CNXT_AUDIO_HDA" = Conexant HD Audio
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free YouTube Download_is1" = Free YouTube Download version 3.1.35.903
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.11.30.903
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"InstallShield_{B2164CCB-C002-4B80-8550-7535D80DF237}" = Lenovo DirectShare
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Office14.Click2Run" = Microsoft Office Klick-und-Los 2010
"PSRUTI" = PSRUTI (remove only)
"Uninstall_is1" = Uninstall 1.0.0.1
"VeriFace" = VeriFace
"WinLiveSuite_Wave3" = Windows Live Essentials
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 10.11.2012 11:27:11 | Computer Name = ***-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\silicon
motion\lenovo easycamera\driverpackage\DPInst64.exe". Die abhängige Assemblierung
"Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 11.11.2012 08:24:19 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information. (Patch task for {90140011-0066-0407-0000-0000000FF1CE}):
DownloadLatest Failed: Zurzeit sind keine aktiven Netzwerkverbindungen verfügbar.
Der Vorgang wird von BITS wiederholt, sobald der Adapter über eine Verbindung verfügt.
Error - 20.11.2012 04:21:03 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information. Error: Der Server lieferte eine ungültige oder
unbekannte Rückmeldung. ErrorCode: 14007(0x36b7).
Error - 20.11.2012 17:13:04 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information. Error: Die Serververbindung wurde aufgrund eines
Fehlers beendet. ErrorCode: 14007(0x36b7).
Error - 07.12.2012 16:49:03 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe_LanmanServer, Version:
6.1.7600.16385, Zeitstempel: 0x4a5bc100 Name des fehlerhaften Moduls: unknown, Version:
0.0.0.0, Zeitstempel: 0x00000000 Ausnahmecode: 0xc0000005 Fehleroffset: 0xc0000010
ID
des fehlerhaften Prozesses: 0x3b0 Startzeit der fehlerhaften Anwendung: 0x01cdd4bc3b76b692
Pfad
der fehlerhaften Anwendung: C:\windows\system32\svchost.exe Pfad des fehlerhaften
Moduls: unknown Berichtskennung: 886c6e2d-40af-11e2-9e29-88ae1dc800cc
Error - 08.12.2012 15:26:44 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe_LanmanServer, Version:
6.1.7600.16385, Zeitstempel: 0x4a5bc100 Name des fehlerhaften Moduls: unknown, Version:
0.0.0.0, Zeitstempel: 0x00000000 Ausnahmecode: 0xc0000005 Fehleroffset: 0x00000000
ID
des fehlerhaften Prozesses: 0x390 Startzeit der fehlerhaften Anwendung: 0x01cdd579e64162a8
Pfad
der fehlerhaften Anwendung: C:\windows\system32\svchost.exe Pfad des fehlerhaften
Moduls: unknown Berichtskennung: 3305f5a9-416d-11e2-863e-88ae1dc800cc
Error - 26.12.2012 15:37:49 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe_LanmanServer, Version:
6.1.7600.16385, Zeitstempel: 0x4a5bc100 Name des fehlerhaften Moduls: msvcrt.dll,
Version: 7.0.7600.16930, Zeitstempel: 0x4eeaf834 Ausnahmecode: 0xc0000005 Fehleroffset:
0x00009c56 ID des fehlerhaften Prozesses: 0x3cc Startzeit der fehlerhaften Anwendung:
0x01cde3a06ecb49c5 Pfad der fehlerhaften Anwendung: C:\windows\system32\svchost.exe
Pfad
des fehlerhaften Moduls: C:\windows\system32\msvcrt.dll Berichtskennung: baefba79-4f93-11e2-b20a-88ae1dc800cc
Error - 05.01.2013 15:39:19 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information. (Patch task for {90140011-0066-0407-0000-0000000FF1CE}):
DownloadLatest Failed: Zurzeit sind keine aktiven Netzwerkverbindungen verfügbar.
Der Vorgang wird von BITS wiederholt, sobald der Adapter über eine Verbindung verfügt.
Error - 05.01.2013 17:38:33 | Computer Name = ***-PC | Source = CVHSVC | ID = 100
Description = Nur zur Information. (Patch task for {90140011-0066-0407-0000-0000000FF1CE}):
DownloadLatest Failed: Zurzeit sind keine aktiven Netzwerkverbindungen verfügbar.
Der Vorgang wird von BITS wiederholt, sobald der Adapter über eine Verbindung verfügt.
Error - 05.01.2013 18:04:22 | Computer Name = ***-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\silicon
motion\lenovo easycamera\driverpackage\DPInst64.exe". Die abhängige Assemblierung
"Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
[ System Events ]
Error - 26.12.2012 15:38:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Designs" wurde unerwartet beendet. Dies ist bereits 1
Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt:
Neustart des Diensts.
Error - 26.12.2012 15:38:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows-Verwaltungsinstrumentation" wurde unerwartet beendet.
Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000
Millisekunden durchgeführt: Neustart des Diensts.
Error - 26.12.2012 15:39:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Shellhardwareerkennung" Korrekturmaßnahmen (Neustart des Diensts)
durchzuführen, ist fehlgeschlagen. Fehler: %%1056
Error - 26.12.2012 15:39:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Server" Korrekturmaßnahmen (Neustart des Diensts) durchzuführen,
ist fehlgeschlagen. Fehler: %%1056
Error - 26.12.2012 15:40:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Neustart
des Diensts) durchzuführen, ist fehlgeschlagen. Fehler: %%1056
Error - 26.12.2012 15:40:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Multimediaklassenplaner" Korrekturmaßnahmen (Neustart des Diensts)
durchzuführen, ist fehlgeschlagen. Fehler: %%1056
Error - 26.12.2012 15:40:07 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Benutzerprofildienst" Korrekturmaßnahmen (Neustart des Diensts) durchzuführen,
ist fehlgeschlagen. Fehler: %%1056
Error - 03.02.2013 20:21:35 | Computer Name = ***-PC | Source = ACPI | ID = 327693
Description = : Der eingebettete Controller (EC) hat nicht innerhalb des angegebenen
Zeitlimits reagiert. Dies deutet auf einen Fehler in der EC-Hardware oder -Firmware
hin bzw. darauf, dass das BIOS auf falsche Art auf den EC zugreift. Fragen Sie
den Computerhersteller nach einem aktualisierten BIOS. Dieser Fehler kann in einigen
Situationen zur Folge haben, dass der Computer fehlerhaft läuft.
Error - 03.02.2013 20:21:49 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "Google Update Service (gupdate)" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.
Error - 03.02.2013 20:22:19 | Computer Name = ***-PC | Source = DCOM | ID = 10010
Description =
< End of report >
Gmer.txt: Code:
GMER 2.0.18454 - hxxp://www.gmer.net
Rootkit scan 2013-02-12 22:29:11
Windows 6.1.7600 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9320325AS rev.0010LVM1 298,09GB
Running: gmer_2.0.18454.exe; Driver: C:\Users\***\AppData\Local\Temp\kgloqpod.sys
---- System - GMER 2.0 ----
SSDT 9525337E ZwCreateSection
SSDT 95253388 ZwRequestWaitReplyPort
SSDT 95253383 ZwSetContextThread
SSDT 9525338D ZwSetSecurityObject
SSDT 95253392 ZwSystemDebugControl
SSDT 9525331F ZwTerminateProcess
---- Kernel code sections - GMER 2.0 ----
.text ntkrnlpa.exe!ZwRollbackTransaction + 13E9 82E8E839 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82EB33F2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 340 82EBACD0 4 Bytes [7E, 33, 25, 95]
.text ntkrnlpa.exe!RtlSidHashLookup + 69C 82EBB02C 4 Bytes [88, 33, 25, 95]
.text ntkrnlpa.exe!RtlSidHashLookup + 6E0 82EBB070 4 Bytes [83, 33, 25, 95] {XOR DWORD [EBX], 0x25; XCHG EBP, EAX}
.text ntkrnlpa.exe!RtlSidHashLookup + 75C 82EBB0EC 4 Bytes [8D, 33, 25, 95]
.text ntkrnlpa.exe!RtlSidHashLookup + 7B0 82EBB140 4 Bytes [92, 33, 25, 95]
.text ...
.text C:\windows\system32\DRIVERS\atipmdag.sys section is writeable [0x8E428000, 0x2ECEB2, 0xE8000020]
---- User code sections - GMER 2.0 ----
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] kernel32.dll!CreateThread 772B27DD 5 Bytes JMP 6D5275DB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateDialogParamW 76A79BFF 5 Bytes JMP 6D6B9320 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!EnableWindow 76A7A72E 5 Bytes JMP 6D569EB4 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!GetAsyncKeyState 76A7C09A 5 Bytes JMP 6D50DED5 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!UnhookWindowsHookEx 76A7CC7B 5 Bytes JMP 6D5AED00 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CallNextHookEx 76A7CC8F 5 Bytes JMP 6D587FDF C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DefWindowProcA 76A7E0E4 7 Bytes JMP 6D529805 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateWindowExA 76A7E18A 5 Bytes JMP 6D53363B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateWindowExW 76A80E51 5 Bytes JMP 6D5903CF C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!SetWindowsHookExW 76A8210A 5 Bytes JMP 6D5625AC C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!GetKeyState 76A84FDA 5 Bytes JMP 6D50DDAB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!IsDialogMessageW 76A86F06 5 Bytes JMP 6D6B9A7A C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DefWindowProcW 76A8724B 7 Bytes JMP 6D588042 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateDialogParamA 76A93E79 5 Bytes JMP 6D6B92E8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!IsDialogMessage 76A9407A 5 Bytes JMP 6D6B9A52 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateDialogIndirectParamA 76A99110 5 Bytes JMP 6D6B9358 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!CreateDialogIndirectParamW 76AA08AD 5 Bytes JMP 6D6B9390 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DialogBoxIndirectParamW 76AA4AA7 5 Bytes JMP 6D6B8FB6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!EndDialog 76AA555C 5 Bytes JMP 6D6B9D26 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DialogBoxParamW 76AA564A 5 Bytes JMP 6D4C1893 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!SetKeyboardState 76AA6B52 5 Bytes JMP 6D6BA341 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!SendInput 76AA7055 5 Bytes JMP 6D6BA2E9 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!SetCursorPos 76ABC1D8 5 Bytes JMP 6D6BA3C2 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DialogBoxParamA 76ABCF6A 5 Bytes JMP 6D6B8F51 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!DialogBoxIndirectParamA 76ABD29C 5 Bytes JMP 6D6B901B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!MessageBoxIndirectA 76ACE8C9 5 Bytes JMP 6D6B8ED8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!MessageBoxIndirectW 76ACE9C3 5 Bytes JMP 6D6B8E5F C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!MessageBoxExA 76ACEA29 5 Bytes JMP 6D6B8DFB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!MessageBoxExW 76ACEA4D 5 Bytes JMP 6D6B8D97 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] USER32.dll!keybd_event 76ACEC9B 5 Bytes JMP 6D6BA2A6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] SHELL32.dll!SHChangeNotification_Lock + 45BA 75B7B440 4 Bytes [CF, 01, 0A, 67]
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] SHELL32.dll!SHChangeNotification_Lock + 45C2 75B7B448 8 Bytes [E0, 61, 09, 67, 79, F7, 09, ...]
.text C:\Program Files\Internet Explorer\iexplore.exe[1064] ole32.dll!OleLoadFromStream 77345BF6 5 Bytes JMP 6D6B9784 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] kernel32.dll!CreateThread 772B27DD 5 Bytes JMP 6D5275DB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateDialogParamW 76A79BFF 5 Bytes JMP 6D6B9320 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!EnableWindow 76A7A72E 5 Bytes JMP 6D569EB4 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!GetAsyncKeyState 76A7C09A 5 Bytes JMP 6D50DED5 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!UnhookWindowsHookEx 76A7CC7B 5 Bytes JMP 6D5AED00 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CallNextHookEx 76A7CC8F 5 Bytes JMP 6D587FDF C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DefWindowProcA 76A7E0E4 7 Bytes JMP 6D529805 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateWindowExA 76A7E18A 5 Bytes JMP 6D53363B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateWindowExW 76A80E51 5 Bytes JMP 6D5903CF C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!SetWindowsHookExW 76A8210A 5 Bytes JMP 6D5625AC C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!GetKeyState 76A84FDA 5 Bytes JMP 6D50DDAB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!IsDialogMessageW 76A86F06 5 Bytes JMP 6D6B9A7A C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DefWindowProcW 76A8724B 7 Bytes JMP 6D588042 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateDialogParamA 76A93E79 5 Bytes JMP 6D6B92E8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!IsDialogMessage 76A9407A 5 Bytes JMP 6D6B9A52 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateDialogIndirectParamA 76A99110 5 Bytes JMP 6D6B9358 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!CreateDialogIndirectParamW 76AA08AD 5 Bytes JMP 6D6B9390 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DialogBoxIndirectParamW 76AA4AA7 5 Bytes JMP 6D6B8FB6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!EndDialog 76AA555C 5 Bytes JMP 6D6B9D26 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DialogBoxParamW 76AA564A 5 Bytes JMP 6D4C1893 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!SetKeyboardState 76AA6B52 5 Bytes JMP 6D6BA341 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!SendInput 76AA7055 5 Bytes JMP 6D6BA2E9 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!SetCursorPos 76ABC1D8 5 Bytes JMP 6D6BA3C2 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DialogBoxParamA 76ABCF6A 5 Bytes JMP 6D6B8F51 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!DialogBoxIndirectParamA 76ABD29C 5 Bytes JMP 6D6B901B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!MessageBoxIndirectA 76ACE8C9 5 Bytes JMP 6D6B8ED8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!MessageBoxIndirectW 76ACE9C3 5 Bytes JMP 6D6B8E5F C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!MessageBoxExA 76ACEA29 5 Bytes JMP 6D6B8DFB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!MessageBoxExW 76ACEA4D 5 Bytes JMP 6D6B8D97 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] USER32.dll!keybd_event 76ACEC9B 5 Bytes JMP 6D6BA2A6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] SHELL32.dll!SHChangeNotification_Lock + 45BA 75B7B440 4 Bytes [CF, 01, 0A, 67]
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] SHELL32.dll!SHChangeNotification_Lock + 45C2 75B7B448 8 Bytes [E0, 61, 09, 67, 79, F7, 09, ...]
.text C:\Program Files\Internet Explorer\iexplore.exe[2448] ole32.dll!OleLoadFromStream 77345BF6 5 Bytes JMP 6D6B9784 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtCreateFile + 6 774E46B6 4 Bytes [28, DC, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtCreateFile + B 774E46BB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtMapViewOfSection + 6 774E4D16 4 Bytes [28, DF, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtMapViewOfSection + B 774E4D1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenFile + 6 774E4DC6 4 Bytes [68, DC, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenFile + B 774E4DCB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcess + 6 774E4E76 4 Bytes [A8, DD, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcess + B 774E4E7B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcessToken + B 774E4E8B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcessTokenEx + 6 774E4E96 4 Bytes [A8, DE, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenProcessTokenEx + B 774E4E9B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThread + 6 774E4EF6 4 Bytes [68, DD, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThread + B 774E4EFB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThreadToken + 6 774E4F06 4 Bytes [68, DE, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThreadToken + B 774E4F0B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtOpenThreadTokenEx + B 774E4F1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtQueryAttributesFile + 6 774E5026 4 Bytes [A8, DC, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtQueryAttributesFile + B 774E502B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtQueryFullAttributesFile + B 774E50DB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtSetInformationFile + 6 774E5726 4 Bytes [28, DD, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtSetInformationFile + B 774E572B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtSetInformationThread + 6 774E5786 4 Bytes [28, DE, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtSetInformationThread + B 774E578B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtUnmapViewOfSection + 6 774E5AA6 4 Bytes [68, DF, 5D, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3444] ntdll.dll!NtUnmapViewOfSection + B 774E5AAB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtCreateFile + 6 774E46B6 4 Bytes [28, 78, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtCreateFile + B 774E46BB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtMapViewOfSection + 6 774E4D16 4 Bytes [28, 7B, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtMapViewOfSection + B 774E4D1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenFile + 6 774E4DC6 4 Bytes [68, 78, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenFile + B 774E4DCB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcess + 6 774E4E76 4 Bytes [A8, 79, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcess + B 774E4E7B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcessToken + B 774E4E8B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcessTokenEx + 6 774E4E96 4 Bytes [A8, 7A, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenProcessTokenEx + B 774E4E9B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThread + 6 774E4EF6 4 Bytes [68, 79, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThread + B 774E4EFB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThreadToken + 6 774E4F06 4 Bytes [68, 7A, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThreadToken + B 774E4F0B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtOpenThreadTokenEx + B 774E4F1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtQueryAttributesFile + 6 774E5026 4 Bytes [A8, 78, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtQueryAttributesFile + B 774E502B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtQueryFullAttributesFile + B 774E50DB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtSetInformationFile + 6 774E5726 4 Bytes [28, 79, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtSetInformationFile + B 774E572B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtSetInformationThread + 6 774E5786 4 Bytes [28, 7A, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtSetInformationThread + B 774E578B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtUnmapViewOfSection + 6 774E5AA6 4 Bytes [68, 7B, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3456] ntdll.dll!NtUnmapViewOfSection + B 774E5AAB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtCreateFile + 6 774E46B6 4 Bytes [28, 14, D8, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtCreateFile + B 774E46BB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtMapViewOfSection + 6 774E4D16 4 Bytes [28, 17, D8, 00] {SUB [EDI], DL; FADD DWORD [EAX]}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtMapViewOfSection + B 774E4D1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenFile + 6 774E4DC6 4 Bytes [68, 14, D8, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenFile + B 774E4DCB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcess + 6 774E4E76 4 Bytes [A8, 15, D8, 00] {TEST AL, 0x15; FADD DWORD [EAX]}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcess + B 774E4E7B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcessToken + B 774E4E8B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcessTokenEx + 6 774E4E96 4 Bytes [A8, 16, D8, 00] {TEST AL, 0x16; FADD DWORD [EAX]}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenProcessTokenEx + B 774E4E9B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThread + 6 774E4EF6 4 Bytes [68, 15, D8, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThread + B 774E4EFB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThreadToken + 6 774E4F06 4 Bytes [68, 16, D8, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThreadToken + B 774E4F0B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtOpenThreadTokenEx + B 774E4F1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtQueryAttributesFile + 6 774E5026 4 Bytes [A8, 14, D8, 00] {TEST AL, 0x14; FADD DWORD [EAX]}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtQueryAttributesFile + B 774E502B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtQueryFullAttributesFile + B 774E50DB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtSetInformationFile + 6 774E5726 4 Bytes [28, 15, D8, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtSetInformationFile + B 774E572B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtSetInformationThread + 6 774E5786 4 Bytes [28, 16, D8, 00] {SUB [ESI], DL; FADD DWORD [EAX]}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtSetInformationThread + B 774E578B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtUnmapViewOfSection + 6 774E5AA6 4 Bytes [68, 17, D8, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3844] ntdll.dll!NtUnmapViewOfSection + B 774E5AAB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtCreateFile + 6 774E46B6 4 Bytes [28, 34, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtCreateFile + B 774E46BB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtMapViewOfSection + 6 774E4D16 4 Bytes [28, 37, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtMapViewOfSection + B 774E4D1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenFile + 6 774E4DC6 4 Bytes [68, 34, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenFile + B 774E4DCB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcess + 6 774E4E76 4 Bytes [A8, 35, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcess + B 774E4E7B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcessToken + B 774E4E8B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcessTokenEx + 6 774E4E96 4 Bytes [A8, 36, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenProcessTokenEx + B 774E4E9B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThread + 6 774E4EF6 4 Bytes [68, 35, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThread + B 774E4EFB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThreadToken + 6 774E4F06 4 Bytes [68, 36, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThreadToken + B 774E4F0B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtOpenThreadTokenEx + B 774E4F1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtQueryAttributesFile + 6 774E5026 4 Bytes [A8, 34, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtQueryAttributesFile + B 774E502B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtQueryFullAttributesFile + B 774E50DB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtSetInformationFile + 6 774E5726 4 Bytes [28, 35, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtSetInformationFile + B 774E572B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtSetInformationThread + 6 774E5786 4 Bytes [28, 36, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtSetInformationThread + B 774E578B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtUnmapViewOfSection + 6 774E5AA6 4 Bytes [68, 37, 91, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3908] ntdll.dll!NtUnmapViewOfSection + B 774E5AAB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtCreateFile + 6 774E46B6 4 Bytes [28, D4, 21, 00] {SUB AH, DL; AND [EAX], EAX}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtCreateFile + B 774E46BB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtMapViewOfSection + 6 774E4D16 4 Bytes [28, D7, 21, 00] {SUB BH, DL; AND [EAX], EAX}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtMapViewOfSection + B 774E4D1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenFile + 6 774E4DC6 4 Bytes [68, D4, 21, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenFile + B 774E4DCB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcess + 6 774E4E76 4 Bytes [A8, D5, 21, 00] {TEST AL, 0xd5; AND [EAX], EAX}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcess + B 774E4E7B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcessToken + B 774E4E8B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcessTokenEx + 6 774E4E96 4 Bytes [A8, D6, 21, 00] {TEST AL, 0xd6; AND [EAX], EAX}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenProcessTokenEx + B 774E4E9B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThread + 6 774E4EF6 4 Bytes [68, D5, 21, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThread + B 774E4EFB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThreadToken + 6 774E4F06 4 Bytes [68, D6, 21, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThreadToken + B 774E4F0B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtOpenThreadTokenEx + B 774E4F1B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtQueryAttributesFile + 6 774E5026 4 Bytes [A8, D4, 21, 00] {TEST AL, 0xd4; AND [EAX], EAX}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtQueryAttributesFile + B 774E502B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtQueryFullAttributesFile + B 774E50DB 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtSetInformationFile + 6 774E5726 4 Bytes [28, D5, 21, 00] {SUB CH, DL; AND [EAX], EAX}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtSetInformationFile + B 774E572B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtSetInformationThread + 6 774E5786 4 Bytes [28, D6, 21, 00] {SUB DH, DL; AND [EAX], EAX}
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtSetInformationThread + B 774E578B 1 Byte [E2]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtUnmapViewOfSection + 6 774E5AA6 4 Bytes [68, D7, 21, 00]
.text C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe[3932] ntdll.dll!NtUnmapViewOfSection + B 774E5AAB 1 Byte [E2]
.text C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!EnableWindow 76A7A72E 5 Bytes JMP 6D569EB4 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!DialogBoxIndirectParamW 76AA4AA7 5 Bytes JMP 6D6B8FB6 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!DialogBoxParamW 76AA564A 5 Bytes JMP 6D4C1893 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!DialogBoxParamA 76ABCF6A 5 Bytes JMP 6D6B8F51 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!DialogBoxIndirectParamA 76ABD29C 5 Bytes JMP 6D6B901B C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!MessageBoxIndirectA 76ACE8C9 5 Bytes JMP 6D6B8ED8 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!MessageBoxIndirectW 76ACE9C3 5 Bytes JMP 6D6B8E5F C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!MessageBoxExA 76ACEA29 5 Bytes JMP 6D6B8DFB C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4152] USER32.dll!MessageBoxExW 76ACEA4D 5 Bytes JMP 6D6B8D97 C:\windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
---- Registry - GMER 2.0 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002269ec2d88
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002269ec2d88 (not active ControlSet)
---- EOF - GMER 2.0 ----
Zu guter Letzt: Malwarebytes hat nichts gefunden (Quick Scan), trotzdem hier noch das Log: Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org
Datenbank Version: v2013.02.12.08
Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]
12.02.2013 22:34:45
mbam-log-2013-02-12 (22-34-45).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 197451
Laufzeit: 5 Minute(n), 35 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Ich hoffe ich habe keine nötigen Infos vergessen.
Da ich selber viel mit PC's im Allgemeinen zu tun habe, würde ich mich im Verlauf der Analyse riesig über kurze Hintergrundinformationen freuen, wie ihr auf den nächsten Schritt kommt, und welche Log-Inhalte dafür auschlagebend waren - natürlich nur sofern es keine Umstände macht.
Danke schonmal im Vorraus!
Grüße,
Chris |
AdwCleaner auf deinen Desktop.