Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virenfund: APPL/DomaIQ.gen --- Beheben oder Neuinstallation praktischer? (https://www.trojaner-board.de/134790-virenfund-appl-domaiq-gen-beheben-neuinstallation-praktischer.html)

chris0806 11.05.2013 13:41
Virenfund: APPL/DomaIQ.gen --- Beheben oder Neuinstallation praktischer?
 
Hallo liebe Trojanerboarder,

ihr habt mir (bzw. der nette Cosinus) vor ein paar Wochen so toll geholfen und nun brauche ich wieder eure Hilfe. Diesmal hat sich der PC meiner Studi-WG infiziert.
Wir haben seit gestern mehrere gefundene Virenmeldungen von Antivir vorliegen (von einem user-Benutzerkonto):
Code:
Die Datei 'C:\Users\Kalle\Downloads\FlashPlayer_V.38805872a.exe'
enthielt einen Virus oder unerwünschtes Programm 'ADWARE/WhiteSmoke.BA' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fbc8c63.qua' verschoben!
Code:
Die Datei 'C:\Users\Kalle\Downloads\zipper_V.6725788a.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/DomaIQ.Gen' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5738a3c7.qua' verschoben!
beim Suchlauf unter dem Admin-Benutzerkonto konnten 5 Funde gemeldet werden, aber leider kann ich wegen einer Fehlermeldung die Reportdatei nicht aufrufen. Es handelt sich aber auch bei mindestens einem Fund um den APPL/DomaIQ.Gen.


Defogger, Gmer und OTL sagen Folgendes:
Defogger
Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:22 on 11/05/2013 (Heidi und Kalle)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
OTL
Code:
OTL logfile created on: 11.05.2013 13:28:11 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Heidi und Kalle\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.10.9200.16540)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,87 Gb Total Physical Memory | 2,77 Gb Available Physical Memory | 71,60% Memory free
7,73 Gb Paging File | 6,38 Gb Available in Paging File | 82,56% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 39,06 Gb Total Space | 7,66 Gb Free Space | 19,62% Space Free | Partition Type: NTFS
Drive D: | 29,32 Gb Total Space | 22,32 Gb Free Space | 76,11% Space Free | Partition Type: NTFS
Drive E: | 43,95 Gb Total Space | 13,89 Gb Free Space | 31,62% Space Free | Partition Type: NTFS
Drive F: | 19,53 Gb Total Space | 10,54 Gb Free Space | 53,99% Space Free | Partition Type: NTFS
Drive G: | 17,09 Gb Total Space | 15,93 Gb Free Space | 93,23% Space Free | Partition Type: NTFS
 
Computer Name: HEIDIUNDKALLE | User Name: Heidi und Kalle | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.05.11 13:10:28 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Heidi und Kalle\Desktop\OTL.exe
PRC - [2013.05.07 15:26:44 | 000,345,312 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Wichtige Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.03.29 03:27:38 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Wichtige Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2013.03.29 03:27:24 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Wichtige Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.03.14 18:43:20 | 000,188,760 | ---- | M] () -- C:\Programme\Video downloader\ExtensionUpdaterService.exe
PRC - [2012.12.18 21:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.12.14 17:29:18 | 001,522,912 | ---- | M] (pdfforge GbR) -- C:\Program Files (x86)\PDF Architect\HelperService.exe
PRC - [2012.12.14 17:28:58 | 000,906,464 | ---- | M] (pdfforge GbR) -- C:\Program Files (x86)\PDF Architect\ConversionService.exe
PRC - [2009.07.16 15:16:42 | 000,935,208 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - [2012.12.19 21:56:00 | 000,240,640 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2009.07.14 03:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2013.04.17 20:46:49 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.04.12 22:20:58 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.03.29 03:27:38 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- D:\Wichtige Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.03.29 03:27:24 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- D:\Wichtige Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.03.14 18:43:20 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Programme\Video downloader\ExtensionUpdaterService.exe -- (Video downloader Updater)
SRV - [2013.02.28 19:25:34 | 000,161,384 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.12.18 21:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.12.14 17:29:18 | 001,522,912 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Program Files (x86)\PDF Architect\HelperService.exe -- (PDF Architect Helper Service)
SRV - [2012.12.14 17:28:58 | 000,906,464 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Program Files (x86)\PDF Architect\ConversionService.exe -- (PDF Architect Service)
SRV - [2010.03.18 14:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.01.09 22:34:24 | 004,925,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2009.07.16 15:16:42 | 000,935,208 | ---- | M] (Nero AG) [Auto | Running] -- C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2013.03.29 03:27:43 | 000,130,016 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2013.03.29 03:27:43 | 000,100,712 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2013.03.29 03:27:43 | 000,028,600 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2012.12.19 22:48:48 | 011,278,336 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)
DRV:64bit: - [2012.12.19 21:32:54 | 000,552,960 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)
DRV:64bit: - [2012.11.06 13:11:52 | 000,096,256 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService)
DRV:64bit: - [2012.08.23 16:10:20 | 000,019,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV:64bit: - [2012.08.23 16:07:35 | 000,057,856 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2012.08.21 14:01:20 | 000,033,240 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV:64bit: - [2012.03.01 08:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.06.10 07:34:52 | 000,539,240 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2011.03.11 08:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 08:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.12.02 23:30:36 | 000,031,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nx6000.sys -- (MSHUSBVideo)
DRV:64bit: - [2010.11.20 15:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2009.09.17 20:54:54 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (HECIx64)
DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsrc=HP_ss&mntrId=CAB44487FC8017A4
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 52 CE 55 7E 7F 0F CE 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://www.delta-search.com/?q={searchTerms}&affID=120519&tt=190313_wo3&babsrc=SP_ss&mntrId=CAB44487FC8017A4
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Delta Search"
FF - prefs.js..browser.startup.homepage: "hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsrc=HP_ss&mntrId=CAB44487FC8017A4|http://www.trojaner-board.de/newthre...beachten.html"
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0.1
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_169.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.21.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.21.2: D:\Java\bin\plugin2\npjp2.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_169.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\SysWOW64\Adobe\Director\np32dsw_1168638.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: D:\Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: D:\Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Wichtige Programme\Adobe Reader\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{77BEC163-D389-42c1-91A4-C758846296A5}: C:\PROGRAM FILES\VIDEO DOWNLOADER\FIREFOX [2013.03.26 22:45:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\FFPDFArchitectConverter@pdfarchitect.com: C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt [2013.01.12 15:40:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{77BEC163-D389-42c1-91A4-C758846296A5}: C:\Program Files\Video downloader\Firefox [2013.03.26 22:45:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.04.12 22:20:58 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.03.23 17:31:02 | 000,000,000 | ---D | M]
 
[2013.01.26 14:07:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Heidi und Kalle\AppData\Roaming\mozilla\Extensions
[2013.04.17 20:47:53 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Heidi und Kalle\AppData\Roaming\mozilla\Firefox\Profiles\r0b7vaco.default\extensions
[2013.03.26 22:44:52 | 000,001,294 | ---- | M] () -- C:\Users\Heidi und Kalle\AppData\Roaming\mozilla\firefox\profiles\r0b7vaco.default\searchplugins\delta.xml
[2013.03.16 20:47:14 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2013.04.12 22:20:58 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.06.28 17:42:00 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npwachk.dll
[2013.01.17 02:11:04 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2013.03.26 22:44:41 | 000,006,508 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2013.01.17 02:11:04 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2013.01.17 02:11:04 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2013.01.17 02:11:04 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.01.17 02:11:04 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2013.01.17 02:11:04 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\bin\ssv.dll (Oracle Corporation)
O2:64bit: - BHO: (Video downloader) - {77BEC163-D389-42c1-91A4-C758846296A5} - C:\Programme\Video downloader\Extension64.dll ()
O2:64bit: - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Java\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (PDF Architect Helper) - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll (pdfforge GbR)
O2 - BHO: (Video downloader) - {77BEC163-D389-42c1-91A4-C758846296A5} - C:\Programme\Video downloader\Extension32.dll ()
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - D:\Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (PDF Architect Toolbar) - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Program Files (x86)\PDF Architect\PDFIEPlugin.dll (pdfforge GbR)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] D:\Wichtige Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Nikon Message Center 2] C:\Program Files (x86)\Nikon\Nikon Message Center 2\NkMC2.exe (Nikon Corporation)
O4 - HKLM..\Run: [StartCCC] D:\Treiber\Grafikkarte\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [WinampAgent] D:\winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKCU..\RunOnce: [JavaInstallRetry] RUNONCE=1 File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8:64bit: - Extra context menu item: An OneNote s&enden - D:\Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8:64bit: - Extra context menu item: Nach Microsoft E&xcel exportieren - D:\Office\Office14\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: An OneNote s&enden - D:\Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - D:\Office\Office14\EXCEL.EXE (Microsoft Corporation)
O9:64bit: - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - D:\Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - D:\Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Outlook\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16:64bit: - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/4.0.4.0/GarminAxControl_32.CAB (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{055AFD53-F006-48A5-9BBA-963675687E11}: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap11 - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18:64bit: - Protocol\Filter\text/xml - No CLSID value found
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.05.11 13:22:15 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Heidi und Kalle\Desktop\OTL.exe
[2013.05.07 15:28:22 | 000,083,160 | ---- | C] (Avira GmbH) -- C:\Windows\SysNative\drivers\avnetflt.sys
[2013.05.05 21:42:37 | 000,000,000 | ---D | C] -- C:\Users\Heidi und Kalle\AppData\Local\Garmin
[2013.05.05 19:18:09 | 000,000,000 | ---D | C] -- C:\Users\Heidi und Kalle\AppData\Roaming\Garmin
[2013.05.05 19:17:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Garmin
 
========== Files - Modified Within 30 Days ==========
 
[2013.05.11 13:22:21 | 000,000,000 | ---- | M] () -- C:\Users\Heidi und Kalle\defogger_reenable
[2013.05.11 13:10:39 | 000,050,477 | ---- | M] () -- C:\Users\Heidi und Kalle\Desktop\Defogger.exe
[2013.05.11 13:10:28 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Heidi und Kalle\Desktop\OTL.exe
[2013.05.11 12:58:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.05.11 12:44:16 | 000,014,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.05.11 12:44:16 | 000,014,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.05.11 12:37:28 | 000,000,396 | ---- | M] () -- C:\Windows\tasks\AmiUpdXp.job
[2013.05.11 12:36:00 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.05.11 12:35:53 | 3113,574,400 | -HS- | M] () -- C:\hiberfil.sys
[2013.05.10 17:06:56 | 001,621,526 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.05.10 17:06:56 | 000,700,230 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.05.10 17:06:56 | 000,654,952 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.05.10 17:06:56 | 000,149,044 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.05.10 17:06:56 | 000,121,824 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.05.07 15:28:12 | 000,083,160 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avnetflt.sys
[2013.05.03 18:32:20 | 000,000,822 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk
 
========== Files Created - No Company Name ==========
 
[2013.05.11 13:22:21 | 000,000,000 | ---- | C] () -- C:\Users\Heidi und Kalle\defogger_reenable
[2013.05.11 13:22:11 | 000,050,477 | ---- | C] () -- C:\Users\Heidi und Kalle\Desktop\Defogger.exe
[2013.03.23 17:31:33 | 000,000,268 | RH-- | C] () -- C:\ProgramData\Pop Kit
[2013.03.23 17:31:33 | 000,000,268 | RH-- | C] () -- C:\ProgramData\Pop Flute
[2013.03.23 17:31:33 | 000,000,268 | RH-- | C] () -- C:\ProgramData\Podcasting
[2013.03.23 17:31:33 | 000,000,268 | RH-- | C] () -- C:\Users\Heidi und Kalle\AppData\Roaming\Plug-Ins
[2013.03.23 17:31:33 | 000,000,268 | RH-- | C] () -- C:\Users\Heidi und Kalle\AppData\Roaming\Plug-In Settings
[2013.03.23 17:31:33 | 000,000,268 | RH-- | C] () -- C:\Users\Heidi und Kalle\AppData\Roaming\Plants
[2013.03.23 17:31:33 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLev.DAT
[2013.03.23 17:31:33 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLet.DAT
[2013.03.23 17:31:33 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLes.DAT
[2012.12.29 22:52:23 | 001,597,804 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2012.12.29 20:18:16 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2012.12.29 20:04:10 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.09.28 03:29:54 | 000,204,952 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat
[2012.09.28 03:29:54 | 000,157,144 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat
[2012.05.02 14:58:10 | 000,029,184 | ---- | C] () -- C:\Windows\SysWow64\kdbsdk32.dll
[2011.09.13 00:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 07:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2013.01.12 15:40:29 | 000,000,000 | ---D | M] -- C:\Users\Heidi und Kalle\AppData\Roaming\APP_NAME_NON_STRING
[2013.03.26 22:44:38 | 000,000,000 | ---D | M] -- C:\Users\Heidi und Kalle\AppData\Roaming\Babylon
[2013.01.26 14:21:04 | 000,000,000 | ---D | M] -- C:\Users\Heidi und Kalle\AppData\Roaming\elsterformular
[2013.05.11 12:39:06 | 000,000,000 | ---D | M] -- C:\Users\Heidi und Kalle\AppData\Roaming\Garmin
[2013.02.09 23:02:54 | 000,000,000 | ---D | M] -- C:\Users\Heidi und Kalle\AppData\Roaming\OpenCandy
[2013.02.09 23:03:00 | 000,000,000 | ---D | M] -- C:\Users\Heidi und Kalle\AppData\Roaming\pdfforge
[2013.03.26 22:50:07 | 000,000,000 | ---D | M] -- C:\Users\Heidi und Kalle\AppData\Roaming\player
[2013.02.21 22:08:43 | 000,000,000 | ---D | M] -- C:\Users\Heidi und Kalle\AppData\Roaming\TeamViewer
 
========== Purity Check ==========
 
 

< End of report >
Code:
OTL Extras logfile created on: 11.05.2013 13:28:11 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Heidi und Kalle\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.10.9200.16540)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,87 Gb Total Physical Memory | 2,77 Gb Available Physical Memory | 71,60% Memory free
7,73 Gb Paging File | 6,38 Gb Available in Paging File | 82,56% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 39,06 Gb Total Space | 7,66 Gb Free Space | 19,62% Space Free | Partition Type: NTFS
Drive D: | 29,32 Gb Total Space | 22,32 Gb Free Space | 76,11% Space Free | Partition Type: NTFS
Drive E: | 43,95 Gb Total Space | 13,89 Gb Free Space | 31,62% Space Free | Partition Type: NTFS
Drive F: | 19,53 Gb Total Space | 10,54 Gb Free Space | 53,99% Space Free | Partition Type: NTFS
Drive G: | 17,09 Gb Total Space | 15,93 Gb Free Space | 93,23% Space Free | Partition Type: NTFS
 
Computer Name: HEIDIUNDKALLE | User Name: Heidi und Kalle | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html[@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- "D:\Outlook\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "D:\Outlook\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "D:\winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "D:\winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "D:\winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- "D:\Outlook\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "D:\Outlook\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "D:\winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "D:\winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "D:\winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- Reg Error: Value error.
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{12F14D31-FBD8-4A5F-B20E-3C9EC7939F5A}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{25E54015-16ED-401C-ACF9-9938F6552B97}" = lport=445 | protocol=6 | dir=in | app=system |
"{2A6B5E5F-4A68-40B8-9263-6640BE0BBD80}" = lport=139 | protocol=6 | dir=in | app=system |
"{3C70DFB7-5317-45F9-8DDE-B38A539A1BB7}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{3FCFE5A6-0837-4979-8102-618D0736755C}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{669BC2D7-9524-4C37-86F4-8C1C13A00F89}" = lport=138 | protocol=17 | dir=in | app=system |
"{9A0CAFAC-1EEF-4C77-A665-212869924905}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{BBF84CF2-1D29-43FA-A5C2-52F79E4BEAB4}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{BD56F936-E5BF-4667-BF7B-6B408E4F8A44}" = rport=137 | protocol=17 | dir=out | app=system |
"{BDF24E87-F540-4F65-8B0D-C2403783662B}" = rport=139 | protocol=6 | dir=out | app=system |
"{CDEA5EC9-DC3D-4A5D-86B8-48FBEC5E35D3}" = lport=137 | protocol=17 | dir=in | app=system |
"{D035F9DB-D65F-4DB5-95E8-F21CF724454C}" = rport=445 | protocol=6 | dir=out | app=system |
"{F490E6B2-B05E-45CB-84DB-45063E238CD9}" = rport=138 | protocol=17 | dir=out | app=system |
"{F57FD2A4-E741-4C2A-B86B-FA31CB44D37E}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{026AC486-6CBD-48C1-8E4C-78F24EA47668}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{0DEFA60A-9D53-4B6B-A731-B57F0CF31350}" = protocol=6 | dir=in | app=c:\program files (x86)\bonjour\mdnsresponder.exe |
"{1BF85603-2AC2-462D-B3F7-B122222F38AA}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{407BD8FA-AC2E-41A5-A9DD-13B2B3E30A3F}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{4884FBB2-9250-4A05-8CBF-CE5438EE22C4}" = protocol=6 | dir=in | app=d:\office\office14\onenote.exe |
"{66474738-2E90-4F0B-9015-320E4FDA7D25}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{69A901C9-813F-4897-87A8-CC71D15FEDB1}" = dir=in | app=c:\program files (x86)\common files\apple\apple application support\webkit2webprocess.exe |
"{6FAA77C6-BF9D-4C50-908F-9830FFC18A8A}" = dir=in | app=d:\itunes\itunes.exe |
"{7D4AD9C3-6227-4418-AEF9-160E46D6B1BD}" = protocol=17 | dir=in | app=c:\program files (x86)\bonjour\mdnsresponder.exe |
"{92309017-47F6-4869-860B-99B6B32D5279}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{A00CBF7C-8B54-4FF1-B2F3-DA8B255786D9}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{B90C0706-B026-443E-9D69-464A862414D8}" = protocol=17 | dir=in | app=d:\office\office14\onenote.exe |
"{BDF39A47-ED99-486E-B171-A847DDA0EEAF}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe |
"TCP Query User{4BEB0AAB-4E90-403A-AB2A-C9A29FA05B83}D:\winamp\winamp.exe" = protocol=6 | dir=in | app=d:\winamp\winamp.exe |
"UDP Query User{9D95DFDE-35B4-4442-B683-C6B452946DB3}D:\winamp\winamp.exe" = protocol=17 | dir=in | app=d:\winamp\winamp.exe |
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0407893F-352C-B182-E04A-A8C3333DA29B}" = AMD Drag and Drop Transcoding
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{0E5D76AD-A3FB-48D5-8400-8903B10317D3}" = iTunes
"{26A24AE4-039D-4CA4-87B4-2F86417021FF}" = Java 7 Update 21 (64-bit)
"{4975DE61-6BF6-B9BC-1FDE-C04C5EC78E4C}" = AMD Media Foundation Decoders
"{503F672D-6C84-448A-8F8F-4BC35AC83441}" = AMD APP SDK Runtime
"{5E03A267-415E-5383-FA8F-3CE4145663B9}" = AMD Catalyst Install Manager
"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"{77BEC163-D389-42c1-91A4-C758846296A5}_is1" = Video downloader 2.0.0.430
"{89EE4A30-080F-2C95-6F78-C98D18FBD74D}" = AMD Accelerated Video Transcoding
"{8E34682C-8118-31F1-BC4C-98CD9675E1C2}" = Microsoft .NET Framework 4 Extended
"{90140000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2010
"{90140000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2010
"{9C5A08BF-BB99-4998-81BD-F6CC32483B34}" = Microsoft Corporation
"{9CF11D16-ECEB-90A5-A028-CA9E068D848B}" = ccc-utility64
"{D70884EA-E2CE-4539-91DB-4766CC1E5F5F}" = Apple Mobile Device Support
"{DA5E371C-6333-3D8A-93A4-6FD5B20BCC6E}" = Microsoft Visual C++ 2010  x64 Redistributable - 10.0.30319
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"CCleaner" = CCleaner
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{017F8447-2A1D-0DDB-B5D7-CA2BFACE2886}" = CCC Help French
"{054E9A1C-3EA2-C657-E787-FD8DCF5C3D3B}" = CCC Help Czech
"{09531CAE-B186-49A9-B44F-C607CC54FA2A}" = PDF Architect
"{1DE2BD51-0300-772D-5E18-F337D95D5687}" = CCC Help German
"{20400dbd-e6db-45b8-9b6b-1dd7033818ec}" = Nero InfoTool Help
"{224E8FEB-5C1F-077F-6FC5-602AC1AE644D}" = CCC Help Danish
"{2348b586-c9ae-46ce-936c-a68e9426e214}" = Nero StartSmart Help
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"{275E9C49-C72F-D754-DEB7-77F10A9C00D8}" = CCC Help Japanese
"{30049739-BE95-6591-B504-E6D7057D49CC}" = CCC Help Spanish
"{33cf58f5-48d8-4575-83d6-96f574e4d83a}" = Nero DriveSpeed
"{3F1EB155-F96E-EB7B-2EF2-7375490E0FA9}" = CCC Help English
"{4B023D7B-9E67-795D-FB31-B5E1F6DCA451}" = CCC Help Italian
"{4D43D635-6FDA-4fa5-AA9B-23CF73D058EA}" = Nero StartSmart OEM
"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.3
"{55F6C486-8C75-2A72-DAFE-CE78A624C9F7}" = CCC Help Russian
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{5AF23993-7152-1620-E43F-1B4542FB4F84}" = CCC Help Thai
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{62ac81f6-bdd3-4110-9d36-3e9eaab40999}" = Nero CoverDesigner
"{63326924-3CAF-C858-3A8F-8598C87019D7}" = Catalyst Control Center
"{63822E89-11AA-F8EC-D433-F72A85799EC0}" = CCC Help Greek
"{66361420-4905-AEB8-17AE-172FDD164A7E}" = CCC Help Polish
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{769F2A4B-84A3-9486-ADD2-9E5AB4B4E1E3}" = Catalyst Control Center InstallProxy
"{7748ac8c-18e3-43bb-959b-088faea16fb2}" = Nero StartSmart
"{7829db6f-a066-4e40-8912-cb07887c20bb}" = Nero BurnRights
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{869200db-287a-4dc0-b02b-2b6787fbcd4c}" = Nero DiscSpeed
"{87441A59-5E64-4096-A170-14EFE67200C3}" = Picture Control Utility
"{8773DD1C-5FB2-95B5-5A93-0EFEAC900A4D}" = CCC Help Norwegian
"{8CCBB0BF-9CC1-1A65-BB93-56012A460EE6}" = CCC Help Portuguese
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.SingleImage_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.SingleImage_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.SingleImage_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.SingleImage_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0000-1000-0000000FF1CE}_Office14.SingleImage_{967EF02C-5C7E-4718-8FCB-BDC050190CCF}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0407-1000-0000000FF1CE}_Office14.SingleImage_{594128C9-2CDF-43CE-8103-DC100CF013B6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.SingleImage_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-003D-0000-0000-0000000FF1CE}" = Microsoft Office Single Image 2010
"{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.SingleImage_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}" = Software Version Updater
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A0A3CE05-96CB-52E9-434E-074F3BB7807E}" = CCC Help Turkish
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A9C64319-932F-D02B-B14C-FFFC3EC49E77}" = CCC Help Chinese Standard
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Deutsch
"{B014EE44-9197-4513-9613-71E6EB1B514E}" = Nikon Message Center 2
"{b2ec4a38-b545-4a00-8214-13fe0e915e6d}" = Advertising Center
"{B3BC9DB1-0B0A-48B0-B86B-EA77CAA7F800}" = Microsoft Corporation
"{BA8B8ADA-084F-4F79-A0CA-6E58A0808794}" = FlashPlayer
"{bd5ca0da-71ad-43da-b19e-6eee0c9adc9a}" = Nero ControlCenter
"{C09DB932-7619-7B56-30E3-C0454811D6D7}" = CCC Help Korean
"{C22A4697-BD77-ACB1-744F-1FD0A0BFF798}" = CCC Help Swedish
"{cc019e3f-59d2-4486-8d4b-878105b62a71}" = Nero DiscSpeed Help
"{CCE825DB-347A-4004-A186-5F4A6FDD8547}" = Apple Application Support
"{ce96f5a5-584d-4f8f-aa3e-9baed413db72}" = Nero CoverDesigner Help
"{D4B457B2-260F-C561-CA87-703BD3B724CA}" = Catalyst Control Center Graphics Previews Common
"{D6CDB506-297D-AE70-0EF6-DE5185F961BE}" = CCC Help Chinese Traditional
"{DDD62492-32A7-412B-8AF1-2CF032AD42E3}" = ViewNX 2
"{E2F0AF23-FE2F-4222-9A43-55E63CC41EF1}" = Catalyst Control Center - Branding
"{e5c7d048-f9b4-4219-b323-8bdb01a2563d}" = Nero DriveSpeed Help
"{e8a80433-302b-4ff1-815d-fcc8eac482ff}" = Nero Installer
"{ECFD508E-68A2-91B2-46DD-1D03D783D94B}" = Catalyst Control Center Localization All
"{EDE361D5-35A5-DA7D-3462-C3DABD24029B}" = CCC Help Hungarian
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F1E7DD6A-AE2D-D706-BEB3-937F76CA6AE9}" = CCC Help Finnish
"{f3c4baf4-c421-404a-a952-3544a9ff2dd3}" = Nero 9 Essentials
"{f4041dce-3fe1-4e18-8a9e-9de65231ee36}" = Nero ControlCenter
"{F56F54DD-BCB2-1221-2CB7-E983A5CF9D15}" = CCC Help Dutch
"{f6bdd7c5-89ed-4569-9318-469aa9732572}" = Nero BurnRights Help
"{fbcdfd61-7dcf-4e71-9226-873ba0053139}" = Nero InfoTool
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"DomaIQ Uninstaller" = DomaIQ
"ElsterFormular" = ElsterFormular
"fotokasten comfort_is1" = fotokasten comfort 5.0
"Mozilla Firefox 20.0.1 (x86 de)" = Mozilla Firefox 20.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Office14.SingleImage" = Microsoft Office Home and Student 2010
"Winamp" = Winamp
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Erkennungs-Plug-in
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 05.05.2013 14:50:14 | Computer Name = HeidiundKalle | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 05.05.2013 14:50:14 | Computer Name = HeidiundKalle | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 16177
 
Error - 05.05.2013 14:50:14 | Computer Name = HeidiundKalle | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 16177
 
Error - 05.05.2013 14:50:15 | Computer Name = HeidiundKalle | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
 
Error - 05.05.2013 14:50:15 | Computer Name = HeidiundKalle | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 17175
 
Error - 05.05.2013 14:50:15 | Computer Name = HeidiundKalle | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 17175
 
Error - 05.05.2013 15:31:33 | Computer Name = HeidiundKalle | Source = .NET Runtime | ID = 1026
Description =
 
Error - 05.05.2013 15:31:34 | Computer Name = HeidiundKalle | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Express.exe, Version: 2.1.13.0, Zeitstempel:
 0x51536202  Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83c8a  Ausnahmecode: 0xe0434352  Fehleroffset: 0x0000c41f  ID des fehlerhaften
 Prozesses: 0x9d4  Startzeit der fehlerhaften Anwendung: 0x01ce49b4795cc38f  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\Garmin\Express\Express.exe  Pfad des
 fehlerhaften Moduls: C:\Windows\syswow64\KERNELBASE.dll  Berichtskennung: 64db0fa1-b5ba-11e2-ab2c-4487fc8017a4
 
Error - 11.05.2013 06:33:08 | Computer Name = HeidiundKalle | Source = .NET Runtime | ID = 1026
Description =
 
Error - 11.05.2013 06:33:09 | Computer Name = HeidiundKalle | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Express.exe, Version: 2.1.13.0, Zeitstempel:
 0x51536202  Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83c8a  Ausnahmecode: 0xe0434352  Fehleroffset: 0x0000c41f  ID des fehlerhaften
 Prozesses: 0x1548  Startzeit der fehlerhaften Anwendung: 0x01ce4e23f9ec23f1  Pfad der
 fehlerhaften Anwendung: D:\Garmin\Garmin\Express\Express.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\syswow64\KERNELBASE.dll  Berichtskennung: 2bdcff71-ba26-11e2-a62b-4487fc8017a4
 
[ System Events ]
Error - 04.03.2013 12:36:59 | Computer Name = HeidiundKalle | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
 Microsoft .NET Framework NGEN v4.0.30319_X64 erreicht.
 
Error - 04.03.2013 12:40:21 | Computer Name = HeidiundKalle | Source = Service Control Manager | ID = 7022
Description = Der Dienst "Windows Update" wurde nicht richtig gestartet.
 
Error - 09.03.2013 04:20:03 | Computer Name = HeidiundKalle | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 09.03.2013 12:44:37 | Computer Name = HeidiundKalle | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
 Microsoft .NET Framework NGEN v4.0.30319_X64 erreicht.
 
Error - 11.03.2013 13:28:21 | Computer Name = HeidiundKalle | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
 Windows-Fehlerberichterstattungsdienst erreicht.
 
Error - 13.03.2013 11:19:38 | Computer Name = HeidiundKalle | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 14.03.2013 16:48:01 | Computer Name = HeidiundKalle | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 20.03.2013 11:03:22 | Computer Name = HeidiundKalle | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 23.03.2013 10:26:55 | Computer Name = HeidiundKalle | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 24.03.2013 10:19:56 | Computer Name = HeidiundKalle | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
 
< End of report >
und Gmer
Code:
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-05-11 14:14:32
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-4 HITACHI_HTS722016K9SA00 rev.DCDZC75A 149,05GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\HEIDIU~1\AppData\Local\Temp\ufdyrkog.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 560  fffff80002e04000 65 bytes [00, 00, 15, 02, 46, 69, 6C, ...]
INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 626  fffff80002e04042 4 bytes [00, 00, 00, 00]

---- EOF - GMER 2.1 ----
Hinweis: Wenn es bei diesen Viren mit einem FormatC und einer Neuinstallation des PCs getan ist (aber das kann ich als Laie nicht beurteilen, es gibt ja soweit ich weiss auch Viren, die sich im Bootsec festsetzen), wäre es kein Problem für mich, das umzusetzen.

Ich würde mich sehr über eure Hilfe freuen.

Herzliche Grüße,
Chris

markusg 11.05.2013 13:45
hi
was für eine Meldung?

chris0806 12.05.2013 16:47
Hallo markusg,

die 2 Meldungen von Antivir habe ich in die ersten beiden Codes geschrieben.
Einmal eben der ADWARE/WhiteSmoke.BA und APPL/DomaIQ.Gen

Viele Grüße,
Chris

markusg 13.05.2013 13:00
Hi,
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

chris0806 17.05.2013 10:30
Hallo markusg,

schon einmal vielen herzlichen Dank für deine Unterstützung:)
Ich habe versucht, es so durchzuführen, allerdings gab es beim Start des Combofix ein Problem:
Den Antivir-Echtzeit-Scanner habe ich zwar deaktiviert, aber beim Start des Combofix mischte sich Antivir trotzdem ein, denn es kam die Nachricht, dass der Zugriff auf die Registry durch Combofix zu meiner Sicherheit blockiert wurde.

Komischerweise konnte ich in der Folge auch über den Taskmanager als Admin Antivir nicht beenden (Ich hatte nicht die System-Rechte dazu, hieß es).

Habe Combofix neu gestartet und trotzdem scannen lassen (es kam wieder die gleiche Meldung, dass der Zugriff auf die registry blockiert wird):
Code:
ComboFix 13-05-16.02 - Heidi und Kalle 17.05.2013  11:14:33.1.4 - x64
Microsoft Windows 7 Professional  6.1.7601.1.1252.49.1031.18.3959.2791 [GMT 2:00]
ausgeführt von:: c:\users\Heidi und Kalle\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Christoph\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk
c:\users\Christoph\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk\rasphone.pbk
c:\users\Heidi und Kalle\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk
c:\users\Heidi und Kalle\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk\rasphone.pbk
c:\users\Heidi\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk
c:\users\Heidi\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk\rasphone.pbk
c:\users\Kalle\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk
c:\users\Kalle\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk\rasphone.pbk
c:\users\Tobias\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk
c:\users\Tobias\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk\rasphone.pbk
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-04-17 bis 2013-05-17  ))))))))))))))))))))))))))))))
.
.
2013-05-17 09:19 . 2013-05-17 09:19        --------        d-----w-        c:\users\Tobias\AppData\Local\temp
2013-05-17 09:19 . 2013-05-17 09:19        --------        d-----w-        c:\users\Kalle\AppData\Local\temp
2013-05-17 09:19 . 2013-05-17 09:19        --------        d-----w-        c:\users\Heidi\AppData\Local\temp
2013-05-17 09:19 . 2013-05-17 09:19        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-05-17 09:19 . 2013-05-17 09:19        --------        d-----w-        c:\users\Christoph\AppData\Local\temp
2013-05-17 09:15 . 2013-05-17 09:15        76232        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{7F739FD0-825F-4C2F-8D58-2103C7958BF3}\offreg.dll
2013-05-17 09:07 . 2013-05-13 06:37        9460464        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{7F739FD0-825F-4C2F-8D58-2103C7958BF3}\mpengine.dll
2013-05-14 19:42 . 2013-02-27 05:52        14172672        ----a-w-        c:\windows\system32\shell32.dll
2013-05-11 10:37 . 2013-05-11 10:37        209472        ----a-w-        c:\program files (x86)\Mozilla Firefox\plugins\nppdf32.dll
2013-05-11 08:48 . 2013-05-11 08:48        --------        d-----w-        c:\users\Kalle\AppData\Roaming\Garmin
2013-05-07 13:28 . 2013-05-07 13:28        83160        ----a-w-        c:\windows\system32\drivers\avnetflt.sys
2013-05-05 19:42 . 2013-05-05 19:47        --------        d-----w-        c:\users\Heidi und Kalle\AppData\Local\Garmin
2013-05-05 17:18 . 2013-05-11 10:39        --------        d-----w-        c:\users\Heidi und Kalle\AppData\Roaming\Garmin
2013-05-05 17:17 . 2013-05-11 08:46        --------        d-----w-        c:\users\Kalle\AppData\Local\Garmin
2013-05-05 17:17 . 2013-05-11 10:39        --------        d-----w-        c:\programdata\Garmin
2013-05-03 08:13 . 2013-05-03 08:13        311200        ----a-w-        c:\windows\system32\javaws.exe
2013-05-03 08:13 . 2013-05-03 08:13        108448        ----a-w-        c:\windows\system32\WindowsAccessBridge-64.dll
2013-05-03 08:13 . 2013-05-03 08:13        188832        ----a-w-        c:\windows\system32\javaw.exe
2013-05-03 08:13 . 2013-05-03 08:13        188320        ----a-w-        c:\windows\system32\java.exe
2013-04-23 17:34 . 2013-04-12 14:45        1656680        ----a-w-        c:\windows\system32\drivers\ntfs.sys
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-14 19:48 . 2012-12-24 23:47        75016696        ----a-w-        c:\windows\system32\MRT.exe
2013-05-14 18:58 . 2012-12-25 10:58        71048        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-05-14 18:58 . 2012-12-25 10:58        692104        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe
2013-05-03 08:13 . 2013-01-19 15:58        971680        ----a-w-        c:\windows\system32\deployJava1.dll
2013-05-03 08:13 . 2013-01-19 15:58        1092512        ----a-w-        c:\windows\system32\npDeployJava1.dll
2013-05-02 00:06 . 2012-12-25 09:00        278800        ------w-        c:\windows\system32\MpSigStub.exe
2013-04-13 05:49 . 2013-05-14 19:42        135168        ----a-w-        c:\windows\apppatch\AppPatch64\AcXtrnal.dll
2013-04-13 05:49 . 2013-05-14 19:42        350208        ----a-w-        c:\windows\apppatch\AppPatch64\AcLayers.dll
2013-04-13 05:49 . 2013-05-14 19:42        308736        ----a-w-        c:\windows\apppatch\AppPatch64\AcGenral.dll
2013-04-13 05:49 . 2013-05-14 19:42        111104        ----a-w-        c:\windows\apppatch\AppPatch64\acspecfc.dll
2013-04-13 04:45 . 2013-05-14 19:42        474624        ----a-w-        c:\windows\apppatch\AcSpecfc.dll
2013-04-13 04:45 . 2013-05-14 19:42        2176512        ----a-w-        c:\windows\apppatch\AcGenral.dll
2013-04-01 22:05 . 2013-04-01 22:05        73728        ----a-w-        c:\windows\SysWow64\SetIEInstalledDate.exe
2013-04-01 22:05 . 2013-04-01 22:05        719360        ----a-w-        c:\windows\SysWow64\mshtmlmedia.dll
2013-04-01 22:05 . 2013-04-01 22:05        523264        ----a-w-        c:\windows\SysWow64\vbscript.dll
2013-04-01 22:05 . 2013-04-01 22:05        48640        ----a-w-        c:\windows\SysWow64\mshtmler.dll
2013-04-01 22:05 . 2013-04-01 22:05        38400        ----a-w-        c:\windows\SysWow64\imgutil.dll
2013-04-01 22:05 . 2013-04-01 22:05        226304        ----a-w-        c:\windows\system32\elshyph.dll
2013-04-01 22:05 . 2013-04-01 22:05        185344        ----a-w-        c:\windows\SysWow64\elshyph.dll
2013-04-01 22:05 . 2013-04-01 22:05        158720        ----a-w-        c:\windows\SysWow64\msls31.dll
2013-04-01 22:05 . 2013-04-01 22:05        150528        ----a-w-        c:\windows\SysWow64\iexpress.exe
2013-04-01 22:05 . 2013-04-01 22:05        138752        ----a-w-        c:\windows\SysWow64\wextract.exe
2013-04-01 22:05 . 2013-04-01 22:05        137216        ----a-w-        c:\windows\SysWow64\ieUnatt.exe
2013-04-01 22:05 . 2013-04-01 22:05        12800        ----a-w-        c:\windows\SysWow64\mshta.exe
2013-04-01 22:05 . 2013-04-01 22:05        110592        ----a-w-        c:\windows\SysWow64\IEAdvpack.dll
2013-04-01 22:05 . 2013-04-01 22:05        1054720        ----a-w-        c:\windows\system32\MsSpellCheckingFacility.exe
2013-04-01 22:05 . 2013-04-01 22:05        97280        ----a-w-        c:\windows\system32\mshtmled.dll
2013-04-01 22:05 . 2013-04-01 22:05        92160        ----a-w-        c:\windows\system32\SetIEInstalledDate.exe
2013-04-01 22:05 . 2013-04-01 22:05        905728        ----a-w-        c:\windows\system32\mshtmlmedia.dll
2013-04-01 22:05 . 2013-04-01 22:05        81408        ----a-w-        c:\windows\system32\icardie.dll
2013-04-01 22:05 . 2013-04-01 22:05        77312        ----a-w-        c:\windows\system32\tdc.ocx
2013-04-01 22:05 . 2013-04-01 22:05        762368        ----a-w-        c:\windows\system32\ieapfltr.dll
2013-04-01 22:05 . 2013-04-01 22:05        62976        ----a-w-        c:\windows\system32\pngfilt.dll
2013-04-01 22:05 . 2013-04-01 22:05        61952        ----a-w-        c:\windows\SysWow64\tdc.ocx
2013-04-01 22:05 . 2013-04-01 22:05        599552        ----a-w-        c:\windows\system32\vbscript.dll
2013-04-01 22:05 . 2013-04-01 22:05        52224        ----a-w-        c:\windows\system32\msfeedsbs.dll
2013-04-01 22:05 . 2013-04-01 22:05        51200        ----a-w-        c:\windows\system32\imgutil.dll
2013-04-01 22:05 . 2013-04-01 22:05        48640        ----a-w-        c:\windows\system32\mshtmler.dll
2013-04-01 22:05 . 2013-04-01 22:05        452096        ----a-w-        c:\windows\system32\dxtmsft.dll
2013-04-01 22:05 . 2013-04-01 22:05        441856        ----a-w-        c:\windows\system32\html.iec
2013-04-01 22:05 . 2013-04-01 22:05        361984        ----a-w-        c:\windows\SysWow64\html.iec
2013-04-01 22:05 . 2013-04-01 22:05        281600        ----a-w-        c:\windows\system32\dxtrans.dll
2013-04-01 22:05 . 2013-04-01 22:05        27648        ----a-w-        c:\windows\system32\licmgr10.dll
2013-04-01 22:05 . 2013-04-01 22:05        270848        ----a-w-        c:\windows\system32\iedkcs32.dll
2013-04-01 22:05 . 2013-04-01 22:05        247296        ----a-w-        c:\windows\system32\webcheck.dll
2013-04-01 22:05 . 2013-04-01 22:05        235008        ----a-w-        c:\windows\system32\url.dll
2013-04-01 22:05 . 2013-04-01 22:05        23040        ----a-w-        c:\windows\SysWow64\licmgr10.dll
2013-04-01 22:05 . 2013-04-01 22:05        216064        ----a-w-        c:\windows\system32\msls31.dll
2013-04-01 22:05 . 2013-04-01 22:05        197120        ----a-w-        c:\windows\system32\msrating.dll
2013-04-01 22:05 . 2013-04-01 22:05        173568        ----a-w-        c:\windows\system32\ieUnatt.exe
2013-04-01 22:05 . 2013-04-01 22:05        167424        ----a-w-        c:\windows\system32\iexpress.exe
2013-04-01 22:05 . 2013-04-01 22:05        1509376        ----a-w-        c:\windows\system32\inetcpl.cpl
2013-04-01 22:05 . 2013-04-01 22:05        149504        ----a-w-        c:\windows\system32\occache.dll
2013-04-01 22:05 . 2013-04-01 22:05        144896        ----a-w-        c:\windows\system32\wextract.exe
2013-04-01 22:05 . 2013-04-01 22:05        1441280        ----a-w-        c:\windows\SysWow64\inetcpl.cpl
2013-04-01 22:05 . 2013-04-01 22:05        1400416        ----a-w-        c:\windows\system32\ieapfltr.dat
2013-04-01 22:05 . 2013-04-01 22:05        13824        ----a-w-        c:\windows\system32\mshta.exe
2013-04-01 22:05 . 2013-04-01 22:05        136192        ----a-w-        c:\windows\system32\iepeers.dll
2013-04-01 22:05 . 2013-04-01 22:05        135680        ----a-w-        c:\windows\system32\IEAdvpack.dll
2013-04-01 22:05 . 2013-04-01 22:05        12800        ----a-w-        c:\windows\system32\msfeedssync.exe
2013-04-01 22:05 . 2013-04-01 22:05        102912        ----a-w-        c:\windows\system32\inseng.dll
2013-03-29 01:27 . 2013-03-29 01:27        28600        ----a-w-        c:\windows\system32\drivers\avkmgr.sys
2013-03-29 01:27 . 2013-03-29 01:27        130016        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2013-03-29 01:27 . 2013-03-29 01:27        100712        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2013-03-23 15:32 . 2013-03-23 15:32        57344        ----a-r-        c:\users\Heidi und Kalle\AppData\Roaming\Microsoft\Installer\{87441A59-5E64-4096-A170-14EFE67200C3}\ARPPRODUCTICON.exe
2013-03-23 15:31 . 2013-03-23 15:31        106496        ----a-w-        c:\windows\SysWow64\ATL71.DLL
2013-03-19 06:04 . 2013-04-10 13:57        5550424        ----a-w-        c:\windows\system32\ntoskrnl.exe
2013-03-19 05:46 . 2013-04-10 13:57        43520        ----a-w-        c:\windows\system32\csrsrv.dll
2013-03-19 05:04 . 2013-04-10 13:57        3968856        ----a-w-        c:\windows\SysWow64\ntkrnlpa.exe
2013-03-19 05:04 . 2013-04-10 13:57        3913560        ----a-w-        c:\windows\SysWow64\ntoskrnl.exe
2013-03-19 04:47 . 2013-04-10 13:57        6656        ----a-w-        c:\windows\SysWow64\apisetschema.dll
2013-03-19 03:06 . 2013-04-10 13:57        112640        ----a-w-        c:\windows\system32\smss.exe
2013-03-07 20:54 . 2013-02-02 21:57        861088        ----a-w-        c:\windows\SysWow64\npDeployJava1.dll
2013-03-07 20:54 . 2013-02-02 21:57        782240        ----a-w-        c:\windows\SysWow64\deployJava1.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{77BEC163-D389-42c1-91A4-C758846296A5}]
2013-03-14 16:43        164184        ----a-w-        c:\program files\Video downloader\Extension32.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2013-02-28 18643048]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="d:\wichtige programme\Avira\AntiVir Desktop\avgnt.exe" [2013-05-07 345312]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"iTunesHelper"="d:\itunes\iTunesHelper.exe" [2012-12-12 152544]
"StartCCC"="d:\treiber\Grafikkarte\ATI.ACE\Core-Static\CLIStart.exe" [2012-12-19 642808]
"WinampAgent"="d:\winamp\winampa.exe" [2012-06-28 74752]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"Nikon Message Center 2"="c:\program files (x86)\Nikon\Nikon Message Center 2\NkMC2.exe" [2010-05-25 619008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe"
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2013-02-28 161384]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 19456]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2012-08-23 57856]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2013-03-29 28600]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2012-12-19 240640]
S2 AntiVirSchedulerService;Avira Planer;d:\wichtige programme\Avira\AntiVir Desktop\sched.exe [2013-03-29 86752]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
S2 PDF Architect Helper Service;PDF Architect Helper Service;c:\program files (x86)\PDF Architect\HelperService.exe [2012-12-14 1522912]
S2 PDF Architect Service;PDF Architect Service;c:\program files (x86)\PDF Architect\ConversionService.exe [2012-12-14 906464]
S2 Video downloader Updater;Video downloader Updater;c:\program files\Video downloader\ExtensionUpdaterService.exe [2013-03-14 188760]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2012-11-06 96256]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 MSHUSBVideo;NX6000/NX3000/VX2000/VX5000/VX5500/VX7000/Cinema Filter Driver;c:\windows\system32\Drivers\nx6000.sys [2010-12-02 31744]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-06-10 539240]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-14 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-25 18:58]
.
2013-05-17 c:\windows\Tasks\AmiUpdXp.job
- c:\users\Heidi und Kalle\AppData\Local\SwvUpdater\Updater.exe [2013-03-26 08:22]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{77BEC163-D389-42c1-91A4-C758846296A5}]
2013-03-14 16:43        202584        ----a-w-        c:\program files\Video downloader\Extension64.dll
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService
FontCache
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsrc=HP_ss&mntrId=CAB44487FC8017A4
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - d:\office\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - d:\office\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/4.0.4.0/GarminAxControl_32.CAB
FF - ProfilePath - c:\users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\
FF - prefs.js: browser.search.selectedEngine - Delta Search
FF - prefs.js: browser.startup.homepage - hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsrc=HP_ss&mntrId=CAB44487FC8017A4|http://www.trojaner-board.de/newthre...-beachten.html
FF - ExtSQL: 2013-03-26 21:45; {77BEC163-D389-42c1-91A4-C758846296A5}; c:\program files\Video downloader\Firefox
FF - user.js: extensions.delta.tlbrSrchUrl -
FF - user.js: extensions.delta.id - cab42e0c0000000000004487fc8017a4
FF - user.js: extensions.delta.appId - {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
FF - user.js: extensions.delta.instlDay - 15790
FF - user.js: extensions.delta.vrsn - 1.8.10.0
FF - user.js: extensions.delta.vrsni - 1.8.10.0
FF - user.js: extensions.delta.vrsnTs - 1.8.10.021:44
FF - user.js: extensions.delta.prtnrId - delta
FF - user.js: extensions.delta.prdct - delta
FF - user.js: extensions.delta.aflt - babsst
FF - user.js: extensions.delta.smplGrp - none
FF - user.js: extensions.delta.tlbrId - base
FF - user.js: extensions.delta.instlRef - sst
FF - user.js: extensions.delta.dfltLng - en
FF - user.js: extensions.delta.excTlbr - false
FF - user.js: extensions.delta.admin - false
FF - user.js: extensions.delta.autoRvrt - false
FF - user.js: extensions.delta.rvrt - false
FF - user.js: extensions.delta.newTab - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_202_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_202_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-05-17  11:21:24
ComboFix-quarantined-files.txt  2013-05-17 09:21
.
Vor Suchlauf: 3.295.969.280 Bytes frei
Nach Suchlauf: 3.347.787.776 Bytes frei
.
- - End Of File - - 1A1B606C8571536A591A2476CD3CA755
Herzliche Grüße,
Chris

markusg 17.05.2013 11:35
Hi
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

chris0806 17.05.2013 16:31
Hallo markusg,

es gab 8 Funde:
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.17.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Heidi und Kalle :: HEIDIUNDKALLE [Administrator]

17.05.2013 16:25:22
mbam-log-2013-05-17 (16-25-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 492302
Laufzeit: 1 Stunde(n), 3 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Heidi und Kalle\AppData\Local\SwvUpdater\Updater.exe (PUP.Software.Updater) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Tasks\AmiUpdXp.job (PUP.Software.Updater) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
edit nach PC-Neustart:
Ich befürchte, dass Antivir die Löschung durch Malwarebytes verhindert haben könnte. Nachdem ich den PC neu gestartet habe (Malwarebytes hat danach verlangt) meldete sich Antivir, dass der Zugriff auf die Registry verweigert wurde.
(Im Logfile steht aber, dass die infizierten Einträge und Dateien erfolgreich gelöscht wurden)
Soll ich Malwarebytes nochmal drüber laufen lassen, Antivir deinstallieren (ich kann es wirklich nichtmal mit Adminrechten über den Taskmanager deaktivieren!), die infizierten Registries löschen lassen und Antivir neu draufspielen?

Viele Grüße,
Chris

markusg 17.05.2013 16:49
hi gehe mal in avira, einstellungen, expertenmodus anhaken, dann allgemein, aufklappen und da gibts etwas mit selbstschutz und erweiterter registry schutz, dass mal deaktivieren, übernemen ok
dann neustarten, mit malwarebytes cannen, funde löschen, und den selbstschutz reaktivieren.

chris0806 17.05.2013 21:36
Hallo,

also es scheint beim ersten mal doch geklappt zu haben:
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.17.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Heidi und Kalle :: HEIDIUNDKALLE [Administrator]

17.05.2013 21:04:36
mbam-log-2013-05-17 (21-04-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 492399
Laufzeit: 1 Stunde(n), 3 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Viele Grüße,
Chris

markusg 17.05.2013 21:37
na, sicher ist sicher, selbstschutz von avira aktivieren bitte.

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

chris0806 17.05.2013 22:05
Hallo,

Selbstschutz ist wieder aktiv.
Bei den Programmen steht tatsächlich das ominöse DomaIQ und eine weitere Tuguu-Software:

Code:
Adobe Flash Player 11 ActiveX        Adobe Systems Incorporated        14.05.2013        6,00MB        11.7.700.202 notwendig
Adobe Flash Player 11 Plugin        Adobe Systems Incorporated        17.05.2013        6,00MB        11.7.700.202 notwendig
Adobe Reader XI (11.0.03) - Deutsch        Adobe Systems Incorporated        17.05.2013        134MB        11.0.03 notwendig
Adobe Shockwave Player 11.6        Adobe Systems, Inc.        22.01.2013                11.6.8.638 notwendig
AMD Catalyst Install Manager        Advanced Micro Devices, Inc.        26.01.2013        26,3MB        8.0.903.0 notwendig
Apple Application Support        Apple Inc.        30.12.2012        65,0MB        2.3.2 unbekannt
Apple Mobile Device Support        Apple Inc.        30.12.2012        25,1MB        6.0.1.3 unbekannt
Apple Software Update        Apple Inc.        30.12.2012        2,38MB        2.1.3.127 unbekannt
Avira Free Antivirus        Avira        07.05.2013        129MB        13.0.0.3640 notwendig
Bonjour        Apple Inc.        30.12.2012        2,00MB        3.0.0.10 unbekannt
CCleaner        Piriform        23.04.2013                4.01 notwendig
CDBurnerXP        CDBurnerXP        03.03.2013        17,0MB        4.5.1.3868 notwendig
DomaIQ        Tuguu SLU        26.03.2013                unbekannt
ElsterFormular        Landesfinanzdirektion Thüringen        26.01.2013        187MB        14.0.0.10960 notwenig
FlashPlayer        Tuguu SL        26.03.2013        17,3MB        1.6.8 unbekannt
fotokasten comfort 5.0                05.01.2013                notwendig
iTunes        Apple Inc.        30.12.2012        189MB        11.0.1.12 notwendig
Java 7 Update 17        Oracle        07.03.2013        129MB        7.0.170 unnötig
Java 7 Update 21 (64-bit)        Oracle        03.05.2013        128MB        7.0.210 notwendig
Malwarebytes Anti-Malware Version 1.75.0.1300        Malwarebytes Corporation        17.05.2013        19,2MB        1.75.0.1300 notwendig
Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        25.12.2012        38,8MB        4.0.30319 notwendig
Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        25.12.2012        2,93MB        4.0.30319 notwendig
Microsoft .NET Framework 4 Extended        Microsoft Corporation        26.03.2013        51,9MB        4.0.30319 notwendig
Microsoft Office File Validation Add-In        Microsoft Corporation        29.01.2013        7,95MB        14.0.5130.5003 unbekannt
Microsoft Office Home and Student 2010        Microsoft Corporation        21.12.2012                14.0.6029.1000 notwendig
Microsoft Office Professional Edition 2003        Microsoft Corporation        14.05.2013        859MB        11.0.8173.0 notwendig
Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        04.03.2013        298KB        8.0.59193 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        23.03.2013        236KB        9.0.30729 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        26.01.2013        600KB        9.0.30729.6161 unbekannt
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.30319        Microsoft Corporation        29.01.2013        13,7MB        10.0.30319 unbekannt
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219        Microsoft Corporation        25.12.2012        16,5MB        10.0.40219 unbekannt
Mozilla Firefox 20.0.1 (x86 de)        Mozilla        12.04.2013        46,0MB        20.0.1 notwendig
Mozilla Maintenance Service        Mozilla        12.04.2013        330KB        20.0.1 unbekannt
MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        04.03.2013        1,27MB        4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        04.03.2013        1,33MB        4.20.9876.0 unbekannt
Nero 9 Essentials        Nero AG        03.03.2013                notwendig
Nikon Message Center 2        Nikon        23.03.2013        5,20MB        2.0.1 notwendig
PDF Architect        pdfforge        12.01.2013        93,2MB        1.0.51.8724 notwendig
PDFCreator        pdfforge        09.02.2013                1.6.2 notwendig
Picture Control Utility        Nikon        23.03.2013        19,6MB        1.2.2 notwendig
QuickTime        Apple Inc.        23.03.2013        73,7MB        7.69.80.9 unbekannt
Skype™ 6.3        Skype Technologies S.A.        10.04.2013        21,1MB        6.3.105 notwendig
Video downloader 2.0.0.430        Southstarco        26.03.2013        2,24MB        2.0.0.430 notwendig
ViewNX 2        Nikon        23.03.2013        64,4MB        2.1.2 notwendig
Winamp        Nullsoft, Inc        23.03.2013                5.63  notwendig
Winamp Erkennungs-Plug-in        Nullsoft, Inc        23.03.2013        75,0KB        1.0.0.1 notwendig
Ich muss dazu sagen, dass ich einige der "unbekannt"-Programmen nicht kenne (wurden von den anderen PC-usern absichtlich oder unabsichtlich installiert).

Viele Grüße,
Chris

Hallo markusg,

entrschuldige bitte den Doppelpost, aber ich kann leider erst wieder nächstes Wochenende am infizierten PC sein. Wundere Dich also bitte nicht, wenn ich erst so spät antworte, das hat rein terminliche Gründe und soll kein Disrespekt gegenüber Dir oder das Forum sein.

Schöne Feiertage und herzliche Grüße,
Chris

markusg 20.05.2013 12:18
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:


DomaIQ
solche software vermeidet man, in dem man nur vom Hersteller läd und benutzerdefiniert instaliert und sich durchliest, was in den AGB's etc steht

deinstaliere:
Java : alle
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:

Öffne bitte CCleaner, analysieren, starten, PC neustarten
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

b

chris0806 27.05.2013 21:28
Hallo markusg,

danke für die Anweisung, habe alles befolgt.
Die Logdatei sagt folgendes:
Code:
# AdwCleaner v2.301 - Datei am 27/05/2013 um 22:24:23 erstellt
# Aktualisiert am 16/05/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : Heidi und Kalle - HEIDIUNDKALLE
# Bootmodus : Normal
# Ausgeführt unter : D:\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****

Gestoppt & Gelöscht : Video downloader Updater

***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelöscht : C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\bprotector_extensions.sqlite
Datei Gelöscht : C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\bprotector_prefs.js
Datei Gelöscht : C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\searchplugins\delta.xml
Datei Gelöscht : C:\Users\Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\vsl49w34.default\bprotector_extensions.sqlite
Datei Gelöscht : C:\Users\Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\vsl49w34.default\bprotector_prefs.js
Ordner Gelöscht : C:\Program Files\Video Downloader
Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\ProgramData\Tarma Installer
Ordner Gelöscht : C:\Users\Christoph\AppData\LocalLow\Delta
Ordner Gelöscht : C:\Users\Heidi und Kalle\AppData\Local\SwvUpdater
Ordner Gelöscht : C:\Users\Heidi und Kalle\AppData\LocalLow\Delta
Ordner Gelöscht : C:\Users\Heidi und Kalle\AppData\Roaming\Babylon
Ordner Gelöscht : C:\Users\Heidi und Kalle\AppData\Roaming\OpenCandy
Ordner Gelöscht : C:\Users\Heidi und Kalle\AppData\Roaming\pdfforge
Ordner Gelöscht : C:\Users\Heidi\AppData\LocalLow\Delta
Ordner Gelöscht : C:\Users\Kalle\AppData\LocalLow\Delta

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\BabylonToolbar
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKCU\Software\8578cddb669ec12
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\Extension.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{1D5A4199-956E-49BC-B89F-6A35C57C0D13}
Schlüssel Gelöscht : HKLM\Software\DataMngr
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16576

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsrc=HP_ss&mntrId=CAB44487FC8017A4 --> hxxp://www.google.com

-\\ Mozilla Firefox v20.0.1 (de)

Datei : C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\prefs.js

C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\user.js ... Gelöscht !

Gelöscht : user_pref("browser.search.selectedEngine", "Delta Search");
Gelöscht : user_pref("browser.startup.homepage", "hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsr[...]
Gelöscht : user_pref("extensions.delta.admin", false);
Gelöscht : user_pref("extensions.delta.aflt", "babsst");
Gelöscht : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
Gelöscht : user_pref("extensions.delta.autoRvrt", "false");
Gelöscht : user_pref("extensions.delta.dfltLng", "en");
Gelöscht : user_pref("extensions.delta.excTlbr", false);
Gelöscht : user_pref("extensions.delta.id", "cab42e0c0000000000004487fc8017a4");
Gelöscht : user_pref("extensions.delta.instlDay", "15790");
Gelöscht : user_pref("extensions.delta.instlRef", "sst");
Gelöscht : user_pref("extensions.delta.newTab", false);
Gelöscht : user_pref("extensions.delta.prdct", "delta");
Gelöscht : user_pref("extensions.delta.prtnrId", "delta");
Gelöscht : user_pref("extensions.delta.rvrt", "false");
Gelöscht : user_pref("extensions.delta.smplGrp", "none");
Gelöscht : user_pref("extensions.delta.tlbrId", "base");
Gelöscht : user_pref("extensions.delta.tlbrSrchUrl", "");
Gelöscht : user_pref("extensions.delta.vrsn", "1.8.10.0");
Gelöscht : user_pref("extensions.delta.vrsnTs", "1.8.10.021:44:52");
Gelöscht : user_pref("extensions.delta.vrsni", "1.8.10.0");

Datei : C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\prefs.js

[OK] Die Datei ist sauber.

Datei : C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\prefs.js

Gelöscht : user_pref("browser.newtab.url", "hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsrc=NT_s[...]
Gelöscht : user_pref("browser.search.selectedEngine", "Delta Search");

Datei : C:\Users\Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\vsl49w34.default\prefs.js

Gelöscht : user_pref("browser.newtab.url", "hxxp://www.delta-search.com/?affID=120519&tt=190313_wo3&babsrc=NT_s[...]
Gelöscht : user_pref("browser.search.selectedEngine", "Delta Search");

*************************

AdwCleaner[S1].txt - [6299 octets] - [27/05/2013 22:24:23]

########## EOF - C:\AdwCleaner[S1].txt - [6359 octets] ##########
Viele Grüße,
Chris

markusg 28.05.2013 10:14
Hi,
HitmanPro - Download - Filepony

Hitmanpro laden, doppelklicken.
Auf Scan.
Nichts löschen, Log speichern unter, bzw als XML exportieren und posten, bzw packen und anhängen

chris0806 01.06.2013 11:36
Hallo lieber markusg,

es waren zum Glück nur Cookies, die gefunden wurden:
Code:
HitmanPro 3.7.5.199
www.hitmanpro.com

  Computer name . . . . : HEIDIUNDKALLE
  Windows . . . . . . . : 6.1.1.7601.X64/4
  User name . . . . . . : HeidiundKalle\Heidi und Kalle
  UAC . . . . . . . . . : Enabled
  License . . . . . . . : Free

  Scan date . . . . . . : 2013-06-01 11:32:22
  Scan mode . . . . . . : Normal
  Scan duration . . . . : 7m 55s
  Disk access mode  . . : Direct disk access (SRB)
  Cloud . . . . . . . . : Internet
  Reboot  . . . . . . . : No

  Threats . . . . . . . : 0
  Traces  . . . . . . . : 1225

  Objects scanned . . . : 1.897.480
  Files scanned . . . . : 52.098
  Remnants scanned  . . : 525.792 files / 1.319.590 keys

Potential Unwanted Programs _________________________________________________

  HKU\S-1-5-21-402407132-709534727-3866883504-1000\Software\Microsoft\Internet Explorer\Approved Extensions\{4D2D3B0F-69BE-477A-90F5-FDDB05357975} (Claro)

Cookies _____________________________________________________________________

  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ad.360yield.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ad.ad-srv.net
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ad.adnet.de
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ad.dyntracker.de
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ad.movad.net
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ad.yieldmanager.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ad.zanox.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ads.brandwire.tv
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ads.creative-serving.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:ads.spinsoft.de
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:adtech.de
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:adviva.net
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:aka-cdn-ns.adtech.de
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:apmebf.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:atdmt.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:bs.serving-sys.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:casalemedia.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:de.sitestat.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:doubleclick.net
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:eas.apm.emediate.eu
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:invitemedia.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:kaspersky.122.2o7.net
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:mediaplex.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:revsci.net
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:serving-sys.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:smartadserver.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:specificclick.net
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:track.adform.net
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:tradedoubler.com
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:www.etracker.de
  C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\3tl74osf.default\cookies.sqlite:www.googleadservices.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Microsoft\Windows\Cookies\0CXVDQBC.txt
  C:\Users\Heidi und Kalle\AppData\Roaming\Microsoft\Windows\Cookies\1FLZQ7H5.txt
  C:\Users\Heidi und Kalle\AppData\Roaming\Microsoft\Windows\Cookies\1T8OAW78.txt
  C:\Users\Heidi und Kalle\AppData\Roaming\Microsoft\Windows\Cookies\2DS6R1NA.txt
  C:\Users\Heidi und Kalle\AppData\Roaming\Microsoft\Windows\Cookies\4N9FNSFO.txt
  C:\Users\Heidi und Kalle\AppData\Roaming\Microsoft\Windows\Cookies\4SQ70A1Y.txt
  C:\Users\Heidi und Kalle\AppData\Roaming\Microsoft\Windows\Cookies\SYBTKRPO.txt
  C:\Users\Heidi und Kalle\AppData\Roaming\Microsoft\Windows\Cookies\ULGRV4FC.txt
  C:\Users\Heidi und Kalle\AppData\Roaming\Microsoft\Windows\Cookies\VI2U2XB6.txt
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:ad.ad-srv.net
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:ad.zanox.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:ads.creative-serving.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:adtech.de
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:apmebf.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:atdmt.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:doubleclick.net
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:invitemedia.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:mediaplex.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:revsci.net
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:serving-sys.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:track.adform.net
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:tradedoubler.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:tribalfusion.com
  C:\Users\Heidi und Kalle\AppData\Roaming\Mozilla\Firefox\Profiles\r0b7vaco.default\cookies.sqlite:www.googleadservices.com
  C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\cookies.sqlite:ad.360yield.com
  C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\cookies.sqlite:ad.ad-srv.net
  C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\cookies.sqlite:ad.dyntracker.de
  C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\cookies.sqlite:ad.zanox.com
  C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\cookies.sqlite:atdmt.com
  C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\cookies.sqlite:de.sitestat.com
  C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\cookies.sqlite:doubleclick.net
  C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\cookies.sqlite:revsci.net
  C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\343m8jo1.default\cookies.sqlite:www.googleadservices.com

Sieht doch schon ganz gut aus oder?

Herzliche Grüße,
Chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:40 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131