Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bitte helft mir, meinen BKA-Trojaner zu beseitigen! (https://www.trojaner-board.de/102477-bitte-helft-mir-meinen-bka-trojaner-beseitigen.html)

me pure 13.08.2011 13:59
Bitte helft mir, meinen BKA-Trojaner zu beseitigen!
 
Hallo, auch mich hat der BKA-Trojaner getroffen.
Ich habe nicht sehr viel Ahnung, hoffe ihr könnt mir trotzdem helfen.
Ich benutze Windows Vista.

Hab nun über den abgesichterten Modus einen Quickscann von Malwarebytes durchgeführt und die gefundenen Viren gelöscht.
Danach konnte ich dann auch wieder über normales Hochfahren auf das System zugreifen. Dann habe ich einen OTL Quick Scann nach der Anleitung aus anderen Threads gemacht, allerdings habe wurde nur ein OTL.txt erstellt, kein Extra.txt

Wie gehts jetzt weiter?
Tch habe mir auch schon GMER runtergeladen und werde einen Scann nach Anleitung durchführen.

kira 14.08.2011 06:39
Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)
Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

Zitat:
Zitat von me pure (Beitrag 692910)

Hab nun über den abgesichterten Modus einen Quickscann von Malwarebytes durchgeführt und die gefundenen Viren gelöscht.
alle Protokolle bitte posten!

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.
  • Downloade die MBR.exe von Gmer und
    kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
    Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  • Start => ausführen => cmd (da reinschreiben) => OK
    es öffnet sich eine Eingabeaufforderung.

    Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  • Nach dem Prompt (>_) folgenden

    aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
    Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

    Code:
    mbr.exe -t > C:\mbr.log & C:\mbr.log
    (Enter drücken)
  • Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
    Bitte kopiere den Inhalt hier in Deinen Thread.

3.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
  • per Doppelklick starten.
  • gleich mal die Datenbanken zu aktualisieren - online updaten
  • Vollständiger Suchlauf wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Anleitung

4.
erneut einen Scan mit OTL:
  • Doppelklick auf die OTL.exe
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Oben findest Du ein Kästchen mit Ausgabe.
    Wähle bitte Standard-Ausgabe
  • Unter Extra-Registrierung wähle bitte Benutze SafeList.
  • Mache Häckchen bei LOP- und Purity-Prüfung.
  • Klicke nun auf Scan links oben.
  • Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
    Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
kira

me pure 14.08.2011 10:10
Hallo Kira, Danke für die schnelle Antwort.
Ich werde jetz alles nacheinander ausführen und dokumentieren soweit es geht.

GMER hab ich gestartet, da erscheint ein Fenster mit dem Text:
LoadDriver ("C:\Users\Admin\AppData\Local\Temp\aglorpod.sys") error 0xC000010: Es wird bereits eine Instanz des Dienstes ausgeführt
aber mit OK kann man das Fenster schließen und GMER öffnet sich trotzdem.
Rechts an der Seite hab ich nur 5 Haken gesetzt bei Service, Registry und Files (darunter C:\) und ADS. Beim Rest kann ich keine Haken setzen. Bin etwas unsicher, da in der Anleitung zu sehen ist, dass rechts überall Haken gesetzt sind.
Ich werde jetzt trotzdem den Scan starten

me pure 14.08.2011 10:45
Der GMER scan hat nichts gebracht. Am Ende öffnete sich ein Fenster, in dem stand dass GMER nichts gefunden hat. Ich konnte auch nichts kopieren, es war kein Log vorhanden dafür.
Dafür habe ich Schritt 2 erledigt. Hier ist der Log

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover
Windows 6.0.6002 Disk: FUJITSU_ rev.0000 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86B56ED1]<<
1 nt!IofCallDriver[0x8207C11B] -> \Device\Harddisk0\DR0[0x8647EAC8]
3 CLASSPNP[0x8AAAA8B3] -> nt!IofCallDriver[0x8207C11B] -> \Device\Ide\IAAStorageDevice-1[0x8543F028]
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\iaStor -> 0x86b56ed1
user & kernel MBR OK
Warning: possible MBR rootkit infection !

me pure 14.08.2011 11:27
Bei mir hat sich jetzt schon zum 3. Mal der Internet Explorer von selbst geöffnet, ich kann ihn aber nur minimiert in der Startleiste sehen. Es steht immer irgendwas mit nem Namen von nem Promi und wahrscheinlich ein Videotitel oder sowas. Also jetzt z.B. Taylor Swift "Sparks...
Dazu öffnet sich ein Fenster mit dem Text "Die angezeigte Seite verwendet Java. Weiter Informationen über Java Unterstützung finden sie auf der Microsoft Webseite" Wenn ich auf DETAILS gehe öffnet sich Firefox mit der Anleitung, zur Java- Installation.
Ich hab den IE nicht selbst geöffnet und benutze auch Firefox als Standart-Browser.
Hat das wasmit dem Trojaner zu tun?

Oder mit folgendem?:
Außerdem hat sich nämlich noch mein Avira gemeldet. Ich habe wohl einen Virus oder ein unerwünschtes Programm namens BOO/TDss.D im Masterbootsektor.
Dieses Problem meldet es schon seit ein ppar Tagen, da mich am Dienstag dieser Woche ein Virus befallen hat.
Wenn mein Vollscann durch ist, kann ich davon nochmal die Malwarebytes-Berichte dranhängen.
Die Kontrolle und Ansicht meiner Daten konnte ich gleich am Dienstag soweit mit Unhide, Malwarebytes und OTL wieder erlangen. Ich schätze das is nun der "Rest" vom Virus. Habe schon Kaspersky tdsskiller installiert, kann ihn allerdings nicht öffnen.
Weiß auch in der Hinsicht nicht weiter.

me pure 14.08.2011 12:25
Vollscann von Malwarebytes

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7463

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

14.08.2011 12:41:04
mbam-log-2011-08-14 (12-41-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 256044
Laufzeit: 53 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Hier noch mein Quick Scann von gestern morgen, kurz nach dem Befall
Zitat:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7435

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 9.0.8112.16421

13.08.2011 12:24:53
mbam-log-2011-08-13 (12-24-53).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148770
Laufzeit: 3 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avupdate (Trojan.Agent) -> Value: avupdate -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Admin\AppData\Roaming\jashla.exe (Trojan.Agent) -> Quarantined and deleted successfully.
und der Bericht(wegen dem tdssd-Virus) von Dienstag
Zitat:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7035

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

09.08.2011 23:10:29
mbam-log-2011-08-09 (23-10-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 297863
Laufzeit: 1 Stunde(n), 22 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

und Mittwoch
Zitat:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7425

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

10.08.2011 15:16:24
mbam-log-2011-08-10 (15-16-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 302751
Laufzeit: 1 Stunde(n), 25 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
c:\programdata\qcqriulditsqim.exe (Trojan.FakeAlert) -> 3440 -> Failed to unload process.

Infizierte Speichermodule:
c:\program files\pdfforge toolbar\IE\4.5\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\QcQriuLdiTSqim (Trojan.FakeAlert) -> Value: QcQriuLdiTSqim -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\qcqriulditsqim.exe (Trojan.FakeAlert) -> Delete on reboot.
c:\program files\pdfforge toolbar\IE\4.5\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> Delete on reboot.
Ich werde jetz weitermachen mit dem OTL-Scann und Schritt 5.

me pure 14.08.2011 12:45
So hier sind die Logs vom OTL Scan
OTL

[CODE]OTL Logfile:OTL Logfile:
Code:
OTL logfile created on: 14.08.2011 13:32:47 - Run 5
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Admin\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 1,91 Gb Available Physical Memory | 63,86% Memory free
6,18 Gb Paging File | 5,12 Gb Available in Paging File | 82,77% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 222,88 Gb Total Space | 162,71 Gb Free Space | 73,00% Space Free | Partition Type: NTFS
 
Computer Name: ADMIN-PC | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.08.09 20:28:54 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
PRC - [2011.07.05 20:01:32 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.06.10 19:09:50 | 000,748,336 | ---- | M] (Microsoft Corporation) -- C:\Programme\Internet Explorer\iexplore.exe
PRC - [2011.06.01 14:44:54 | 002,337,144 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe
PRC - [2011.03.28 20:31:16 | 000,193,920 | ---- | M] (Microsoft Corp.) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
PRC - [2011.03.28 20:31:14 | 001,713,536 | ---- | M] (Microsoft Corp.) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
PRC - [2011.03.28 16:15:17 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.03.28 16:14:56 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2009.04.11 08:28:03 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe
PRC - [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2008.05.22 17:33:54 | 000,688,128 | ---- | M] (SAMSUNG Electronics) -- C:\Programme\SamSung\Easy Display Manager\dmhkcore.exe
PRC - [2008.05.13 08:47:20 | 000,077,480 | ---- | M] () -- C:\Programme\SamSung\Samsung Update Plus\SLUBackgroundService.exe
PRC - [2008.04.25 21:31:34 | 000,565,248 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\SamSung\EasySpeedUpManager\EasySpeedUpManager.exe
PRC - [2008.04.17 20:50:00 | 006,111,232 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2008.04.17 15:26:46 | 000,352,256 | ---- | M] (SAMSUNG Electronics co., LTD.) -- C:\Programme\SamSung\EBM\EasyBatteryMgr3.exe
PRC - [2008.01.21 04:25:33 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2008.01.21 04:25:33 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe
PRC - [2008.01.21 04:23:32 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe
PRC - [2007.07.05 07:41:42 | 000,045,056 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\SamSung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
PRC - [2007.04.03 18:50:00 | 001,603,152 | ---- | M] (CANON INC.) -- C:\Programme\Canon\MyPrinter\BJMYPRT.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.08.09 20:28:54 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
MOD - [2010.08.31 17:43:52 | 001,686,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.07.05 20:01:32 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.01 14:44:54 | 002,337,144 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe -- (TeamViewer6)
SRV - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.05.13 08:47:20 | 000,077,480 | ---- | M] () [Auto | Running] -- C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe -- (Samsung Update Plus)
SRV - [2008.01.21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.05 20:01:32 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.05 20:01:32 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.06.18 19:33:20 | 000,165,376 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\atksgt.sys -- (atksgt)
DRV - [2011.06.18 19:33:10 | 000,018,048 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.06.09 16:23:00 | 007,522,624 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2008.04.05 23:56:26 | 000,242,560 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vmc302.sys -- (VMC302)
DRV - [2007.09.14 00:17:58 | 000,755,712 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2006.11.14 09:11:54 | 000,013,312 | ---- | M] (SAMSUNG ELECTRONICS CO., LTD.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\KMDFMEMIO.sys -- (KMDFMEMIO)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://de-de.facebook.com/"
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.07.04 20:37:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
 
[2011.07.04 20:37:34 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Extensions
[2011.08.09 15:08:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\2cazqile.default\extensions
[2011.08.13 23:44:01 | 000,000,000 | ---D | M] (Collusion) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\2cazqile.default\extensions\jid1-F9UJ2thwoAm5gQ@jetpack
[2011.07.09 12:15:31 | 000,005,212 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\2cazqile.default\searchplugins\ecosia.xml
[2011.08.13 21:29:59 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) --
() (No name found) -- C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2CAZQILE.DEFAULT\EXTENSIONS\{D04B0B40-3DAB-4F0B-97A6-04EC3EDDBFB0}.XPI
() (No name found) -- C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2CAZQILE.DEFAULT\EXTENSIONS\PERSONAS@CHRISTOPHER.BEARD.XPI
[2011.06.10 07:34:29 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.06.16 06:32:37 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.08.13 21:01:57 | 000,000,098 | ---- | M]) - C:\Windows\System32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [ICQ] C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O4 - HKCU..\Run: [Power2GoExpress]  File not found
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Programme\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Admin\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Admin\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{cec9f574-92b6-11e0-ba72-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{cec9f574-92b6-11e0-ba72-806e6f6e6963}\Shell\AutoRun\command - "" = D:\Msetup4.exe
O33 - MountPoints2\{ef6d6cc6-92b0-11e0-8868-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{ef6d6cc6-92b0-11e0-8868-806e6f6e6963}\Shell\AutoRun\command - "" = D:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.08.13 21:29:58 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2011.08.13 21:10:15 | 001,404,720 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Admin\Desktop\tdsskiller.exe
[2011.08.13 21:01:57 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2011.08.13 17:52:18 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.08.13 16:03:25 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2011.08.13 16:01:35 | 002,322,184 | ---- | C] (ESET) -- C:\Users\Admin\Desktop\esetsmartinstaller_enu.exe
[2011.08.13 15:01:11 | 000,100,864 | ---- | C] (GMER) -- C:\aglorpod.sys
[2011.08.13 13:12:53 | 101,601,761 | ---- | C] (Kaspersky Lab) -- C:\Program Files\pure9.1.0.124de.exe
[2011.08.13 12:36:22 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
[2011.08.12 09:42:50 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{338FF2CA-3989-44E5-BF69-7E14A276D5BE}
[2011.08.12 09:42:36 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{1BAEED21-5972-480A-94CE-6A8A62D7931B}
[2011.08.12 09:16:44 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{511A0DD0-D1E8-44F8-A9DA-7AA6A9740D82}
[2011.08.11 20:24:16 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2011.08.11 20:20:51 | 019,075,976 | ---- | C] (Skype Technologies S.A.) -- C:\Program Files\SkypeSetup_4.2.0.187.exe
[2011.08.11 19:22:43 | 001,081,480 | ---- | C] (Skype Technologies S.A.) -- C:\Program Files\SkypeSetup.exe
[2011.08.11 19:22:03 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2011.08.11 19:06:03 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2011.08.11 19:02:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SamSung
[2011.08.11 19:02:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamViewer
[2011.08.11 18:58:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2011.08.11 18:58:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atheros WLAN Client
[2011.08.11 16:51:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.08.11 16:47:18 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{3D030450-9D94-45EB-8361-913E16DD713C}
[2011.08.11 16:46:31 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{BCB02616-5F94-4466-840D-D38F461A866E}
[2011.08.10 13:45:40 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{B7021062-028F-4C93-9DE1-57C1B9825AE8}
[2011.08.10 13:43:39 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{6663092A-5C4E-46FB-8A4D-D67248609360}
[2011.08.09 21:22:59 | 009,466,208 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\Admin\Desktop\mbam-setup-1.51.1.1800.exe
[2011.08.09 18:00:56 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Malwarebytes
[2011.08.09 17:59:55 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.08.09 17:59:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.08.09 17:59:37 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011.08.09 17:59:36 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011.08.09 17:28:42 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsSearch
[2011.08.09 13:43:41 | 000,000,000 | ---D | C] -- C:\Users\Admin\Documents\BaFög
[2011.08.09 11:57:29 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{674DFE49-F584-4EF6-B17C-9C8BA7624020}
[2011.08.09 11:57:15 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{7878D6C1-150C-4EAE-9B96-AAB755BFC765}
[2011.08.08 16:00:18 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{A3E22906-1A54-4411-9B26-CDB7921A5418}
[2011.08.08 15:59:56 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{C2E8339B-55B4-467F-B3A8-5FCCCCB8095C}
[2011.08.07 23:44:59 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{3ADAE302-1C44-4D76-91A3-BE9B1D22380F}
[2011.08.07 23:44:58 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{B61B1800-7037-447A-AC1F-ED3D870F730E}
[2011.08.06 16:42:25 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{C3705ED2-D531-4179-AFB0-FC317CFC8E91}
[2011.08.05 11:49:46 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{1D8B70B1-2766-44FA-9577-AB161998536F}
[2011.08.05 11:49:28 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{2BC1701D-E2B1-40E0-8E89-1B9C2F090BD2}
[2011.08.04 10:26:43 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{F97D3A39-F6E8-463B-BBA5-C1571B776E03}
[2011.08.04 10:26:18 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{8EE4828D-641E-42E2-B3EA-344405A1CDB2}
[2011.08.04 00:31:11 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{14DBF0F1-FD34-45B7-A7C9-7762BCC738B0}
[2011.08.03 16:50:52 | 000,000,000 | ---D | C] -- C:\Users\Admin\Documents\2011_08_03
[2011.08.03 16:45:37 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Canon
[2011.08.03 16:44:13 | 000,000,000 | ---D | C] -- C:\ProgramData\CanonBJ
[2011.08.03 16:42:56 | 000,216,064 | ---- | C] (CANON INC.) -- C:\Windows\System32\CNMLM8S.DLL
[2011.08.03 16:31:19 | 000,000,000 | ---D | C] -- C:\Program Files\Canon
[2011.08.03 11:21:45 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{98616688-5746-46E2-96D5-3709E60B4703}
[2011.08.03 11:21:37 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{0CB8A063-7C8B-4223-8722-EBBD2C4E802E}
[2011.08.03 11:21:36 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{5EDE80A4-4D84-474E-824E-2A8964E5C013}
[2011.08.02 21:35:50 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{F07CD4EB-65A8-4BBA-B481-D7F625632802}
[2011.08.02 21:35:37 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{5DFB23BD-67FF-4D88-B448-2D811D95327F}
[2011.08.02 09:55:41 | 000,000,000 | ---D | C] -- C:\Users\Admin\Documents\Meine empfangenen Dateien
[2011.08.02 09:35:15 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{B3EFD0B3-F8A5-4A63-9284-FE196D2E8E91}
[2011.08.02 09:35:11 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{A2F75EDF-27B3-4307-81FD-7F36B366A816}
[2011.08.02 01:08:13 | 000,000,000 | ---D | C] -- C:\Users\Admin\Documents\prince
[2011.08.01 01:38:48 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{2130C5B3-0AAC-4FC6-8C59-7BCA0B26D3F9}
[2011.08.01 01:32:08 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{E04867DC-9E03-440E-B78E-56E984C3FD74}
[2011.07.29 15:09:54 | 002,043,392 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2011.07.29 15:09:51 | 000,375,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\winsrv.dll
[2011.07.29 15:09:51 | 000,049,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\csrsrv.dll
[2011.07.27 20:41:48 | 000,000,000 | ---D | C] -- C:\Program Files\TeamViewer
[2011.07.26 10:28:12 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{21F991C7-1540-44DB-BD67-8E4896DFD49E}
[2011.07.25 17:51:02 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{30CAD578-2435-459C-A7CC-3F5021053DE7}
[2011.07.25 17:50:47 | 000,000,000 | ---D | C] -- C:\Users\Admin\Tracing
[2011.07.25 17:19:03 | 000,000,000 | ---D | C] -- C:\Windows\de
[2011.07.25 17:17:14 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft SQL Server Compact Edition
[2011.07.25 17:15:39 | 000,000,000 | ---D | C] -- C:\Windows\PCHEALTH
[2011.07.25 17:15:24 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Live
[2011.07.25 17:13:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight
[2011.07.25 17:13:16 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Silverlight
[2011.07.25 17:12:00 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\Windows Live
[2011.07.25 17:11:59 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Windows Live
[2006.11.24 23:14:44 | 000,139,264 | ---- | C] ( ) -- C:\Windows\System32\MACSSDK_wiz.dll
[2006.11.24 23:14:44 | 000,126,976 | ---- | C] ( ) -- C:\Windows\System32\MACSSDK.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.08.14 13:28:58 | 000,000,374 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts.ics
[2011.08.14 13:28:55 | 000,027,839 | ---- | M] () -- C:\ProgramData\nvModes.001
[2011.08.14 13:28:53 | 000,027,839 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2011.08.14 13:28:30 | 000,003,712 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.08.14 13:28:29 | 000,003,712 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.08.14 13:28:23 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.08.14 13:28:04 | 3215,552,512 | -HS- | M] () -- C:\hiberfil.sys
[2011.08.14 11:40:08 | 000,089,088 | ---- | M] () -- C:\Windows\System32\mbr.exe
[2011.08.14 11:40:08 | 000,089,088 | ---- | M] () -- C:\Users\Admin\Desktop\mbr.exe
[2011.08.13 23:06:16 | 000,014,120 | ---- | M] () -- C:\Users\Admin\Documents\bookmarks-2011-08-13.json
[2011.08.13 21:26:55 | 000,000,040 | ---- | M] () -- C:\Users\Public\Documents\_rgpl
[2011.08.13 21:10:12 | 001,404,720 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\Admin\Desktop\tdsskiller.exe
[2011.08.13 21:01:57 | 000,000,098 | ---- | M] () -- C:\Windows\System32\drivers\etc\Hosts
[2011.08.13 16:01:36 | 002,322,184 | ---- | M] (ESET) -- C:\Users\Admin\Desktop\esetsmartinstaller_enu.exe
[2011.08.13 15:01:11 | 000,100,864 | ---- | M] (GMER) -- C:\aglorpod.sys
[2011.08.13 14:45:17 | 000,302,592 | ---- | M] () -- C:\Users\Admin\Desktop\6xnt2mxq.exe
[2011.08.13 13:17:02 | 101,601,761 | ---- | M] (Kaspersky Lab) -- C:\Program Files\pure9.1.0.124de.exe
[2011.08.12 02:48:29 | 000,000,846 | ---- | M] () -- C:\Users\Admin\Desktop\firefox - Verknüpfung.lnk
[2011.08.11 21:06:53 | 000,002,379 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2011.08.11 20:25:47 | 000,000,056 | -H-- | M] () -- C:\Windows\System32\ezsidmv.dat
[2011.08.11 20:21:12 | 019,075,976 | ---- | M] (Skype Technologies S.A.) -- C:\Program Files\SkypeSetup_4.2.0.187.exe
[2011.08.11 19:46:54 | 000,628,742 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.08.11 19:46:54 | 000,595,996 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.08.11 19:46:54 | 000,126,454 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.08.11 19:46:54 | 000,104,070 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.08.11 19:23:10 | 001,081,480 | ---- | M] (Skype Technologies S.A.) -- C:\Program Files\SkypeSetup.exe
[2011.08.11 18:52:48 | 000,000,104 | ---- | M] () -- C:\Users\Admin\Desktop\Computer - Verknüpfung.lnk
[2011.08.11 16:51:38 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.08.09 20:28:54 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
[2011.08.09 20:28:06 | 009,466,208 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\Admin\Desktop\mbam-setup-1.51.1.1800.exe
[2011.08.09 17:52:01 | 000,252,888 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.07.30 20:13:15 | 000,020,480 | ---- | M] () -- C:\Users\Admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== Files Created - No Company Name ==========
 
[2011.08.14 11:41:12 | 000,089,088 | ---- | C] () -- C:\Windows\System32\mbr.exe
[2011.08.14 11:40:22 | 000,089,088 | ---- | C] () -- C:\Users\Admin\Desktop\mbr.exe
[2011.08.14 10:19:42 | 3215,552,512 | -HS- | C] () -- C:\hiberfil.sys
[2011.08.13 23:06:16 | 000,014,120 | ---- | C] () -- C:\Users\Admin\Documents\bookmarks-2011-08-13.json
[2011.08.13 21:26:55 | 000,000,040 | ---- | C] () -- C:\Users\Public\Documents\_rgpl
[2011.08.13 14:45:25 | 000,302,592 | ---- | C] () -- C:\Users\Admin\Desktop\6xnt2mxq.exe
[2011.08.12 02:48:29 | 000,000,846 | ---- | C] () -- C:\Users\Admin\Desktop\firefox - Verknüpfung.lnk
[2011.08.11 20:25:47 | 000,000,056 | -H-- | C] () -- C:\Windows\System32\ezsidmv.dat
[2011.08.11 20:24:16 | 000,002,379 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk
[2011.08.11 18:52:48 | 000,000,104 | ---- | C] () -- C:\Users\Admin\Desktop\Computer - Verknüpfung.lnk
[2011.08.11 16:51:38 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.08.09 17:22:59 | 000,504,657 | ---- | C] () -- C:\Users\Admin\Desktop\unhide.exe
[2011.07.04 20:37:23 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2011.06.18 19:33:20 | 000,165,376 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys
[2011.06.18 19:33:10 | 000,018,048 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys
[2011.06.12 23:40:48 | 000,023,580 | ---- | C] () -- C:\Users\Admin\AppData\Roaming\UserTile.png
[2011.06.10 18:03:18 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2011.06.10 07:35:42 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2011.06.10 07:35:42 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2011.06.09 21:15:21 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2011.06.09 20:43:28 | 000,020,480 | ---- | C] () -- C:\Users\Admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.06.09 19:13:49 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2011.06.09 18:44:14 | 000,000,684 | ---- | C] () -- C:\Windows\HotFixList.ini
[2011.06.09 18:40:46 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2011.06.09 18:39:06 | 000,027,839 | ---- | C] () -- C:\ProgramData\nvModes.001
[2011.06.09 18:39:05 | 000,027,839 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2011.06.09 18:25:49 | 000,000,135 | R--- | C] () -- C:\Windows\System32\lngEng.ini
[2011.06.09 18:25:49 | 000,000,117 | ---- | C] () -- C:\Windows\System32\lngKor.ini
[2011.06.09 18:16:42 | 000,040,960 | ---- | C] () -- C:\Windows\System32\IhDEV.exe
[2011.06.09 18:16:42 | 000,024,576 | ---- | C] () -- C:\Windows\System32\IhINF.exe
[2011.06.09 18:05:05 | 000,000,680 | ---- | C] () -- C:\Users\Admin\AppData\Local\d3d9caps.dat
[2008.01.21 09:15:58 | 000,628,742 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2008.01.21 09:15:58 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2008.01.21 09:15:58 | 000,126,454 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2008.01.21 09:15:58 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2007.02.26 16:49:12 | 006,139,774 | ---- | C] () -- C:\Windows\System32\imagine digital freedom.dat
[2007.02.16 01:51:02 | 000,274,432 | ---- | C] () -- C:\Windows\System32\NDADLL.dll
[2006.11.30 02:00:30 | 000,045,056 | ---- | C] () -- C:\Windows\System32\MAWebControl.exe
[2006.11.30 02:00:28 | 000,307,200 | ---- | C] () -- C:\Windows\System32\LDBGenWizView.dll
[2006.11.02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006.11.02 14:47:37 | 000,252,888 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 12:33:01 | 000,595,996 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006.11.02 12:33:01 | 000,104,070 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006.10.09 19:01:28 | 000,061,440 | ---- | C] () -- C:\Windows\System32\AVSAudioWideStereoDMO.dll
 
========== LOP Check ==========
 
[2011.08.03 16:45:51 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Canon
[2011.08.12 16:20:23 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\ICQ
[2011.06.12 23:40:48 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\PeerNetworking
[2011.08.14 13:27:22 | 000,032,572 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
< End of report >
--- --- ---

--- --- ---


Extra

[CODE]OTL Logfile:OTL Logfile:
Code:
OTL Extras logfile created on: 14.08.2011 13:32:47 - Run 5
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Admin\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 1,91 Gb Available Physical Memory | 63,86% Memory free
6,18 Gb Paging File | 5,12 Gb Available in Paging File | 82,77% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 222,88 Gb Total Space | 162,71 Gb Free Space | 73,00% Space Free | Partition Type: NTFS
 
Computer Name: ADMIN-PC | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-679186329-3352478774-2945693008-1000]
"EnableNotifications" = 0
"EnableNotificationsRef" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DoNotAllowExceptions" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0ADBA36C-E641-4E0B-91E4-F52954F52A2B}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{13251F6D-25E0-4221-9637-A62C4D4D30BD}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe |
"{15146B19-FF7C-4855-B6A5-F90DF6178022}" = rport=137 | protocol=17 | dir=out | app=system |
"{1556D602-93B9-4300-9751-14F06D0CE541}" = lport=53 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{2A26A99E-F55F-4B15-9582-4EA040562D0D}" = lport=67 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{3BFD8104-3A86-4E03-B26F-002F23B03C55}" = rport=445 | protocol=6 | dir=out | app=system |
"{3EA02309-F11D-43D6-B8A2-9FD85A3D0379}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{418FEDB7-73DA-4219-94CC-929D2A794FB1}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) |
"{4E35DF6D-A8A9-4EF8-9069-5B3F33732498}" = rport=138 | protocol=17 | dir=out | app=system |
"{616BE416-E9D8-41D4-99AC-5B435FA21864}" = lport=137 | protocol=17 | dir=in | app=system |
"{68F19B96-B633-4690-B3D4-58A1AD7A55B5}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{6A0A9154-99C3-41EE-808F-4950353357CF}" = lport=547 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{80BDE7CD-9EAC-4CC7-AF1D-CEA1687DDDAB}" = rport=139 | protocol=6 | dir=out | app=system |
"{82B1649E-4EC5-4FDD-92AA-51586073F31E}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{8FF5DC36-0D3D-4C5D-923D-94345E33431D}" = lport=445 | protocol=6 | dir=in | app=system |
"{96B24376-A280-4CF0-B713-7D33B7B00D0D}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) |
"{A858AEEC-1AF3-4567-80C7-F74D8E781589}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{B9E2BBE0-5FA5-46FD-A9D0-D063A19F6FA2}" = lport=138 | protocol=17 | dir=in | app=system |
"{BAC83331-82BE-4637-A7EB-2FE71F8E45B5}" = lport=68 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{C3B2B21E-8511-48BA-9950-8824CE9B6137}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{C9BAD1CC-2E9A-42AB-894A-946EC7BE733F}" = rport=2869 | protocol=6 | dir=out | app=system |
"{CF281BBD-7CBA-463A-BF8F-48A1E6B189E0}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{D86575B9-5514-45B5-B955-9CC47207AE48}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{DE7966DE-3C54-4E2B-8A8F-5E0826D16F2C}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{E3209084-DED2-44B0-B131-517FED2C2BB4}" = lport=2869 | protocol=6 | dir=in | app=system |
"{EE17490A-453A-486B-B5C7-0465038C5149}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{F9B9108C-5B4F-4DEF-B0E0-C64DE3D2D4DC}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe |
"{F9F82218-D3F2-4985-959E-0E1D83D6A671}" = lport=139 | protocol=6 | dir=in | app=system |
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0C4058D6-466F-4DF1-8563-1B73AEE2D085}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe |
"{0C437E0D-541C-4A3E-9877-3CB2E2264674}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{0CC42F0B-CC1E-4F19-9CB2-2EE06B02D19B}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{1BEE355E-14A5-4746-BF13-EA3B60C96C5C}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{2108BD04-B816-4659-888A-A05815F9B6D7}" = protocol=17 | dir=in | app=c:\program files\teamviewer\version6\teamviewer_service.exe |
"{241813D0-BD8C-4D2E-B14E-573B85D04586}" = protocol=6 | dir=in | app=c:\program files\teamviewer\version6\teamviewer.exe |
"{242D6C48-4222-4C19-9664-76D0D433963F}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{2AAED9A4-B04B-4EAE-83F7-0C647FF5A478}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{2B51C36C-4B96-4F79-ADBB-F2AF837D739C}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{317F13BB-C9FF-48A7-8247-4C91F90CC3EE}" = protocol=6 | dir=in | app=c:\program files\teamviewer\version6\teamviewer_service.exe |
"{371F089A-29CE-4E27-91B0-CEFB40B05906}" = dir=out | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{40E3C68C-CD6F-4103-AC79-85D1D87EDD74}" = protocol=17 | dir=in | app=c:\program files\ubisoft\assassin's creed brotherhood\acbmp.exe |
"{42B3BFF8-CFC3-4C1E-9D81-5CF0C4E10189}" = protocol=17 | dir=in | app=c:\program files\icq7.5\icq.exe |
"{452F5643-B50A-4ABE-A191-84E6726320D6}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{50EAF023-5BCC-44EC-852D-874FEBECA39F}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{515DAF4F-EA65-497A-A014-48D276D03453}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{55A87A74-1A9A-4D92-9EFB-F8AF3E176A5C}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{577E609D-0042-441B-9138-18B56DF9A621}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{5D54B558-6AB3-4876-BF74-FCFFCFAECE96}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{675F1147-6BCD-43FC-95F3-5983294485F1}" = protocol=17 | dir=in | app=c:\program files\icq7.5\icq.exe |
"{6BA6EBB8-462F-40EA-88C1-7CB1D1A90937}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{7C6BDC9A-7F9C-4A1B-9E2B-0137A77E2188}" = dir=in | app=c:\program files\windows live\contacts\wlcomm.exe |
"{833CB862-9911-4101-B067-16A1BA9BE03F}" = protocol=58 | dir=in | name=@hnetcfg.dll,-148 |
"{9D8FE41A-DCE3-4D9E-A33C-9E2F049ED668}" = dir=in | app=c:\program files\cyberlink\powerdirector\pdr.exe |
"{ACCED9F2-1245-4269-AB9E-3674FFD9510B}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{AD7F6F1F-5F9F-46E7-953C-F1E77037A50D}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{AEE2E7C9-17AB-46EA-915F-DFDE265E690F}" = protocol=17 | dir=in | app=c:\program files\teamviewer\version6\teamviewer.exe |
"{B0C7792B-9FEC-42DE-B083-52B028054523}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{B2ED03F3-4D9B-4E3C-A5FB-D554337F389F}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{B3A0AE9B-1CF5-4653-B159-6BC9BB0E3279}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{B426F91E-BB9F-40C5-808F-CAA63E1AF467}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{B99F807B-FE70-4F9D-ABFC-C2DFA8447397}" = protocol=6 | dir=in | app=c:\program files\icq7.5\icq.exe |
"{BD5BF57E-A991-4502-BDF1-61067FF8D021}" = protocol=6 | dir=in | app=c:\program files\ubisoft\assassin's creed brotherhood\acbmp.exe |
"{BDA0A150-C483-4122-ADD0-BCCC88C1B4BA}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{BECF143A-F351-4F69-B285-16B7370859C6}" = dir=in | app=c:\program files\skype\plugin manager\skypepm.exe |
"{BEF99939-DA35-4AF6-A55C-12A938A6ED13}" = protocol=6 | dir=in | app=c:\program files\icq7.5\icq.exe |
"{C6FFC124-EE7F-4C96-BFD3-39702B72F407}" = dir=in | app=c:\program files\cyberlink\powerdvd\powerdvd.exe |
"{E08B9F28-9A1B-4176-AF59-F366E0E6B6B5}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{FDD100B9-ED24-45FB-A6A0-4F38A60195D5}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"TCP Query User{6B966A52-A656-44C7-9657-4F933945FC93}C:\program files\icq7.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq7.5\icq.exe |
"TCP Query User{A51E600C-B375-49E0-91BB-0ACB096B7221}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe |
"UDP Query User{69901D32-F6D1-4CC7-8085-8AF950869624}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe |
"UDP Query User{873C3911-A7F4-4B1F-8E0B-7F3230495136}C:\program files\icq7.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq7.5\icq.exe |
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{004C5DA2-2051-4D25-94BA-51CF810C91EB}" = LightScribe System Software  1.12.37.1
"{00AF10C1-44BD-4862-9D7F-24E6BA3E87FD}" = imagine digital freedom - Samsung
"{04983D37-2202-4295-94A2-8B547C66133F}" = Atheros WLAN Client
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution III
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{1BA1DBDC-5431-46FD-A66F-A17EB1C439EE}" = Windows Live Messenger
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}" = Samsung Magic Doctor
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{36BEAD11-8577-49AD-9250-E06A50AE87B0}" = Microsoft SOAP Toolkit 2.0 SP2
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{4EA8EA5D-8E46-4698-9BF7-2F2AD8E1C185}" = Easy Network Manager 3.0
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{58D68DF0-4E8B-4E9E-B425-670F9E37C1A8}" = TES Construction Set
"{5DD4FCBD-A3C1-4155-9E17-4161C70AAABA}" = Segoe UI
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus
"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Easy Battery Manager
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71A51B09-E7D3-11DB-A386-005056C00008}" = Vimicro UVC Camera
"{7578ADEA-D65F-4C89-A249-B1C88B6FFC20}" = ICQ7.5
"{804F1285-8CBF-408D-8CDC-D4D40003B2E4}" = PlayCamera
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{955597D8-E5E1-474D-B647-60AC44566D24}" = Play AVStation
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AC76BA86-7AD7-1031-7B44-A81000000003}" = Adobe Reader 8.1.0 - Deutsch
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = LabelPrint
"{C6150D8A-86ED-41D3-87BB-F3BB51B0B77F}" = Windows Live ID Sign-in Assistant
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{E5B21F11-6933-4E0B-A25C-7963E3C07D11}" = Windows Live Messenger
"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{F9835182-794B-4F24-902A-E2CA9D43380F}" = NVIDIA PhysX
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Boom Voyage" = Boom Voyage (remove only)
"CanonMyPrinter" = Canon My Printer
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"ESET Online Scanner" = ESET Online Scanner v3
"InstallShield_{4EA8EA5D-8E46-4698-9BF7-2F2AD8E1C185}" = Easy Network Manager 3.0
"InstallShield_{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus
"InstallShield_{955597D8-E5E1-474D-B647-60AC44566D24}" = Play AVStation
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 5.0 (x86 de)" = Mozilla Firefox 5.0 (x86 de)
"MP Navigator EX 1.0" = Canon MP Navigator EX 1.0
"NVIDIA Drivers" = NVIDIA Drivers
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TeamViewer 6" = TeamViewer 6
"VLC media player" = VLC media player 1.1.10
"WinLiveSuite" = Windows Live Essentials
"YDKJG3" = YOU DON'T KNOW JACK® 3 - Abwärts!
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 13.08.2011 15:08:40 | Computer Name = Admin-PC | Source = Windows Search Service | ID = 3013
Description =
 
Error - 13.08.2011 15:28:08 | Computer Name = Admin-PC | Source = VSS | ID = 8194
Description =
 
Error - 13.08.2011 17:31:53 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 13.08.2011 17:32:02 | Computer Name = Admin-PC | Source = System Restore | ID = 8209
Description =
 
Error - 13.08.2011 17:49:54 | Computer Name = Admin-PC | Source = EventSystem | ID = 4609
Description =
 
Error - 13.08.2011 17:50:53 | Computer Name = Admin-PC | Source = System Restore | ID = 8209
Description =
 
Error - 13.08.2011 17:51:00 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 14.08.2011 04:21:29 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 14.08.2011 04:51:22 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 14.08.2011 07:29:51 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
[ Media Center Events ]
Error - 12.06.2011 02:10:16 | Computer Name = Admin-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.SqmFlushSession failed;
 Win32 GetLastError returned 0D  Prozess: DefaultDomain Objektname: Media Center Guide

 
[ System Events ]
Error - 09.06.2011 15:28:20 | Computer Name = Admin-PC | Source = HTTP | ID = 15016
Description =
 
Error - 09.06.2011 15:28:36 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
Error - 09.06.2011 15:32:47 | Computer Name = Admin-PC | Source = DCOM | ID = 10010
Description =
 
Error - 09.06.2011 15:58:06 | Computer Name = Admin-PC | Source = HTTP | ID = 15016
Description =
 
Error - 09.06.2011 15:59:23 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
Error - 10.06.2011 00:54:44 | Computer Name = Admin-PC | Source = HTTP | ID = 15016
Description =
 
Error - 10.06.2011 00:56:02 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
Error - 10.06.2011 11:56:25 | Computer Name = Admin-PC | Source = HTTP | ID = 15016
Description =
 
Error - 10.06.2011 11:56:52 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
Error - 10.06.2011 12:32:36 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
 
< End of report >
--- --- ---

--- --- ---


und die Liste der Programme
Zitat:
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 08.08.2011 10.3.181.23
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 08.08.2011 10.3.181.34
Adobe Reader 8.1.0 - Deutsch Adobe Systems Incorporated 08.06.2011 99,5MB 8.1.0
Atheros WLAN Client 08.08.2011 0,86MB 1.00.000
Avira AntiVir Personal - Free Antivirus Avira GmbH 10.08.2011 141,6MB 10.2.0.700
Boom Voyage (remove only) 08.08.2011 28,3MB
Canon MP Navigator EX 1.0 08.08.2011 65,8MB
Canon My Printer 08.08.2011 2,14MB
Canon Utilities Easy-PhotoPrint EX 08.08.2011 209MB
CCleaner Piriform 13.08.2011 3,98MB 3.09
CyberLink DVD Suite CyberLink Corp. 08.08.2011 9,64MB 5.0.2403
CyberLink Power2Go CyberLink Corp. 08.08.2011 52,4MB 5.0.3825
Easy Battery Manager 08.08.2011 7,89MB 3.2.1.7
Easy Display Manager Samsung 08.06.2011 12,4MB 2.0.0.0
Easy Network Manager 3.0 Ihr Firmenname 08.06.2011 36,9MB 3.0.0.0
Easy SpeedUp Manager 08.08.2011 4,00MB 2.0.1.0
ESET Online Scanner v3 12.08.2011 118,1MB
ICQ7.5 ICQ 04.07.2011 51,1MB 7.5
imagine digital freedom - Samsung Samsung Electronics Co., LTD 08.06.2011 7,50MB 1.0.2.0
Intel® Matrix Storage Manager Intel Corporation 08.08.2011 0,79MB
LabelPrint CyberLink Corp. 08.08.2011 106,4MB .2406
LightScribe System Software 1.12.37.1 LightScribe 08.06.2011 20,9MB 1.12.37.1
Malwarebytes' Anti-Malware Version 1.51.1.1800 Malwarebytes Corporation 10.08.2011 6,73MB 1.51.1.1800
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 08.08.2011 37,0MB
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 08.08.2011 37,0MB
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 08.08.2011 120,3MB 4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 08.08.2011 24,5MB 4.0.30319
Microsoft Office XP Professional Microsoft Corporation 08.06.2011 240MB 10.0.2701.01
Microsoft Silverlight Microsoft Corporation 01.08.2011 20,3MB 4.0.60531.0
Microsoft SOAP Toolkit 2.0 SP2 Microsoft Corporation 08.06.2011 0,53MB 623.1
Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 31.07.2011 1,74MB 3.1.0000
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 01.08.2011 0,29MB 8.0.61001
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 08.06.2011 0,58MB 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 01.08.2011 0,58MB 9.0.30729.6161
Mozilla Firefox 5.0 (x86 de) Mozilla 08.08.2011 31,3MB 5.0
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 09.06.2011 34,00KB 4.20.9870.0
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 09.06.2011 1,34MB 4.20.9876.0
NVIDIA Drivers 08.08.2011
NVIDIA PhysX NVIDIA Corporation 18.06.2011 73,2MB 9.10.0512
PDFCreator Frank Heindörfer, Philip Chinery 09.06.2011 30,1MB 1.2.1
Play AVStation Ihr Firmenname 08.06.2011 91,1MB 4.1.20.50
PlayCamera 08.08.2011 310MB 1.0.1.7
PowerDirector CyberLink Corp. 08.08.2011 129,4MB 5.0.3927
PowerDVD CyberLink Corp. 08.08.2011 114,4MB 7.0.3118.0
PowerProducer CyberLink Corp. 08.08.2011 298MB 085120(3.7)_Vista_SSPC
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 08.06.2011 11,4MB 6.0.1.5605
Samsung Magic Doctor Samsung Electronics Co., LTD 08.08.2011 15,4MB 5.00
Samsung Recovery Solution III Samsung 08.06.2011 82,1MB 3.0.0.5
Samsung Update Plus Samsung Electronics Co., LTD 08.06.2011 5,64MB 1.3.0.11
Skype™ 4.2 Skype Technologies S.A. 10.08.2011 19,5MB 4.2.187
Synaptics Pointing Device Driver Synaptics 08.08.2011 13,6MB 10.1.2.0
TeamViewer 6 TeamViewer GmbH 08.08.2011 15,3MB 6.0.10722
TES Construction Set 08.08.2011
User Guide 08.08.2011 152,0MB 1.0
Vimicro UVC Camera Vimicro Corporation 08.06.2011 2,15MB 1.00.0000
VLC media player 1.1.10 VideoLAN 08.08.2011 81,6MB 1.1.10
Windows Live Essentials Microsoft Corporation 01.08.2011 15.4.3538.0513
YOU DON'T KNOW JACK® 3 - Abwärts! 08.08.2011 166,7MB
Ich hab nun alles abgearbeitet, hoffentlich hab ich alles richtig gemacht :)
Danke schonmal für deine Hilfe!

me pure 14.08.2011 12:54
Vielleicht wäre es wichtig zu erwähnen, dass ich gestern eine Systemwiederherstellung versucht habe. Diese hat aus unbekanntem Grund nicht funtioniert.
Ich habs nach dem ersten Fehlversuch nochmal im abgesicherten Modus probiert (nachdem ich gelesen habe, dass ich das versuchen sollte) aber auch da hat es nicht geklappt.

kira 15.08.2011 07:45
TDSSKiller von Kaspersky
  • Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
  • Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
  • deaktiviere vorübergehend dein AntiVirus-Programm
  • Starte die TDSSKiller.exe durch Doppelklick.
  • Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
    Bestätige das ggfs. mit Y(es).
    Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
  • Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.
Hier findest Du eine ausführlichere Anleitung.

me pure 15.08.2011 21:02
Ich sagte doch schon, dass der tddsKiller sich bei mir nicht öffnet! Ich hab ihn gelöscht und alles und jetzt nochmal runtergeladen aber es funktioniert immer noch nicht.

kira 15.08.2011 22:18
1.
Fixen mit OTL
  • Starte die OTL.exe.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Kopiere folgendes Skript:
Code:
:OTL
FF - prefs.js..browser.startup.homepage: "hxxp://de-de.facebook.com/"
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{cec9f574-92b6-11e0-ba72-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{cec9f574-92b6-11e0-ba72-806e6f6e6963}\Shell\AutoRun\command - "" = D:\Msetup4.exe
O33 - MountPoints2\{ef6d6cc6-92b0-11e0-8868-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{ef6d6cc6-92b0-11e0-8868-806e6f6e6963}\Shell\AutoRun\command - "" = D:\AutoRun.exe

:Commands
[purity]
[emptytemp]

2.
erneut einen Scan mit OTL:
  • Doppelklick auf die OTL.exe
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Oben findest Du ein Kästchen mit Ausgabe.
    Wähle bitte Standard-Ausgabe
  • Unter Extra-Registrierung wähle bitte Benutze SafeList.
  • Mache Häckchen bei LOP- und Purity-Prüfung.
  • Klicke nun auf Scan links oben.
  • Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
    Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.

3.
MBR mit aswMBR von Avast wiederherstellen
  • Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
  • PC vom Internet trennen, Firewall und alle Schutzsoftware deaktivieren
  • XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten.
    Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
  • Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.
  • Klicke Scan, um den Suchlauf zu starten.
  • Wenn der Scan beendet ist, was mit Scan finished sucessfull! angezeigt und eine MBR-Infektion gemeldet wird, klicke Fix (bei TLD) oder FixMBR (bei Whistler), um den MBR wiederherzustellen.
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

me pure 15.08.2011 23:27
Logfile nach dem Fix

Zitat:
All processes killed
========== OTL ==========
Prefs.js: "hxxp://de-de.facebook.com/" removed from browser.startup.homepage
C:\Programme\Mozilla Firefox\searchplugins\bing.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml moved successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Recovery\ deleted successfully.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\Windows\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cec9f574-92b6-11e0-ba72-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cec9f574-92b6-11e0-ba72-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cec9f574-92b6-11e0-ba72-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cec9f574-92b6-11e0-ba72-806e6f6e6963}\ not found.
File D:\Msetup4.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ef6d6cc6-92b0-11e0-8868-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ef6d6cc6-92b0-11e0-8868-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ef6d6cc6-92b0-11e0-8868-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ef6d6cc6-92b0-11e0-8868-806e6f6e6963}\ not found.
File D:\AutoRun.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 1860069 bytes
->Temporary Internet Files folder emptied: 47571578 bytes
->FireFox cache emptied: 64674202 bytes
->Flash cache emptied: 2505 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 11431769 bytes
RecycleBin emptied: 103083259 bytes

Total Files Cleaned = 218,00 mb


OTL by OldTimer - Version 3.2.26.1 log created on 08162011_000638

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Dann noch die OTL (1) und Extra (2) Logfiles

1OTL Logfile:
Code:
OTL logfile created on: 16.08.2011 00:18:48 - Run 6
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Admin\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 66,93% Memory free
6,18 Gb Paging File | 5,22 Gb Available in Paging File | 84,35% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 222,88 Gb Total Space | 159,04 Gb Free Space | 71,35% Space Free | Partition Type: NTFS
 
Computer Name: ADMIN-PC | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.08.09 20:28:54 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
PRC - [2011.08.01 10:28:16 | 000,124,480 | ---- | M] (ICQ, LLC.) -- C:\Programme\ICQ7.5\ICQ.exe
PRC - [2011.07.05 20:01:32 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.06.10 19:09:50 | 000,748,336 | ---- | M] (Microsoft Corporation) -- C:\Programme\Internet Explorer\iexplore.exe
PRC - [2011.06.01 14:44:54 | 002,337,144 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe
PRC - [2011.03.28 20:31:16 | 000,193,920 | ---- | M] (Microsoft Corp.) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
PRC - [2011.03.28 20:31:14 | 001,713,536 | ---- | M] (Microsoft Corp.) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
PRC - [2011.03.28 16:15:17 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.03.28 16:14:56 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2009.04.11 08:28:03 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe
PRC - [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2008.05.22 17:33:54 | 000,688,128 | ---- | M] (SAMSUNG Electronics) -- C:\Programme\SamSung\Easy Display Manager\dmhkcore.exe
PRC - [2008.05.13 08:47:20 | 000,077,480 | ---- | M] () -- C:\Programme\SamSung\Samsung Update Plus\SLUBackgroundService.exe
PRC - [2008.04.25 21:31:34 | 000,565,248 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\SamSung\EasySpeedUpManager\EasySpeedUpManager.exe
PRC - [2008.04.17 20:50:00 | 006,111,232 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2008.04.17 15:26:46 | 000,352,256 | ---- | M] (SAMSUNG Electronics co., LTD.) -- C:\Programme\SamSung\EBM\EasyBatteryMgr3.exe
PRC - [2008.01.21 04:25:33 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2008.01.21 04:25:33 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe
PRC - [2008.01.21 04:23:32 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe
PRC - [2007.07.05 07:41:42 | 000,045,056 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\SamSung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
PRC - [2007.04.03 18:50:00 | 001,603,152 | ---- | M] (CANON INC.) -- C:\Programme\Canon\MyPrinter\BJMYPRT.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.08.09 20:28:54 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
MOD - [2010.08.31 17:43:52 | 001,686,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.07.05 20:01:32 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.01 14:44:54 | 002,337,144 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe -- (TeamViewer6)
SRV - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.05.13 08:47:20 | 000,077,480 | ---- | M] () [Auto | Running] -- C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe -- (Samsung Update Plus)
SRV - [2008.01.21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.05 20:01:32 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.05 20:01:32 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.06.18 19:33:20 | 000,165,376 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\atksgt.sys -- (atksgt)
DRV - [2011.06.18 19:33:10 | 000,018,048 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.06.09 16:23:00 | 007,522,624 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2008.04.05 23:56:26 | 000,242,560 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vmc302.sys -- (VMC302)
DRV - [2007.09.14 00:17:58 | 000,755,712 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2006.11.14 09:11:54 | 000,013,312 | ---- | M] (SAMSUNG ELECTRONICS CO., LTD.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\KMDFMEMIO.sys -- (KMDFMEMIO)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://de-de.facebook.com/"
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.07.04 20:37:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
 
[2011.07.04 20:37:34 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Extensions
[2011.08.09 15:08:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\2cazqile.default\extensions
[2011.08.13 23:44:01 | 000,000,000 | ---D | M] (Collusion) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\2cazqile.default\extensions\jid1-F9UJ2thwoAm5gQ@jetpack
[2011.07.09 12:15:31 | 000,005,212 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\2cazqile.default\searchplugins\ecosia.xml
[2011.08.13 21:29:59 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) --
() (No name found) -- C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2CAZQILE.DEFAULT\EXTENSIONS\{D04B0B40-3DAB-4F0B-97A6-04EC3EDDBFB0}.XPI
() (No name found) -- C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2CAZQILE.DEFAULT\EXTENSIONS\PERSONAS@CHRISTOPHER.BEARD.XPI
[2011.06.10 07:34:29 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.06.16 06:32:37 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
 
O1 HOSTS File: ([2011.08.13 21:01:57 | 000,000,098 | ---- | M]) - C:\Windows\System32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [ICQ] C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O4 - HKCU..\Run: [Power2GoExpress]  File not found
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Programme\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Admin\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Admin\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.08.15 22:11:47 | 124,539,416 | ---- | C] (Kaspersky Lab) -- C:\Users\Admin\Desktop\pure9.1.0.124de.exe
[2011.08.14 13:39:22 | 000,000,000 | ---D | C] -- C:\Program Files\CCleaner
[2011.08.14 13:38:34 | 003,447,576 | ---- | C] (Piriform Ltd) -- C:\Users\Admin\Desktop\ccsetup309.exe
[2011.08.13 21:29:58 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2011.08.13 21:01:57 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2011.08.13 17:52:18 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.08.13 16:03:25 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2011.08.13 16:01:35 | 002,322,184 | ---- | C] (ESET) -- C:\Users\Admin\Desktop\esetsmartinstaller_enu.exe
[2011.08.13 15:01:11 | 000,100,864 | ---- | C] (GMER) -- C:\aglorpod.sys
[2011.08.13 12:36:22 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
[2011.08.12 09:42:50 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{338FF2CA-3989-44E5-BF69-7E14A276D5BE}
[2011.08.12 09:42:36 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{1BAEED21-5972-480A-94CE-6A8A62D7931B}
[2011.08.12 09:16:44 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{511A0DD0-D1E8-44F8-A9DA-7AA6A9740D82}
[2011.08.11 20:24:16 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2011.08.11 20:20:51 | 019,075,976 | ---- | C] (Skype Technologies S.A.) -- C:\Program Files\SkypeSetup_4.2.0.187.exe
[2011.08.11 19:22:43 | 001,081,480 | ---- | C] (Skype Technologies S.A.) -- C:\Program Files\SkypeSetup.exe
[2011.08.11 19:22:03 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2011.08.11 19:06:03 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2011.08.11 19:02:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SamSung
[2011.08.11 19:02:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamViewer
[2011.08.11 18:58:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2011.08.11 18:58:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atheros WLAN Client
[2011.08.11 16:51:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.08.11 16:47:18 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{3D030450-9D94-45EB-8361-913E16DD713C}
[2011.08.11 16:46:31 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{BCB02616-5F94-4466-840D-D38F461A866E}
[2011.08.11 16:33:10 | 001,404,720 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Admin\Desktop\TDSSKiller.exe
[2011.08.10 13:45:40 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{B7021062-028F-4C93-9DE1-57C1B9825AE8}
[2011.08.10 13:43:39 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{6663092A-5C4E-46FB-8A4D-D67248609360}
[2011.08.09 21:22:59 | 009,466,208 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\Admin\Desktop\mbam-setup-1.51.1.1800.exe
[2011.08.09 18:00:56 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Malwarebytes
[2011.08.09 17:59:55 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.08.09 17:59:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.08.09 17:59:37 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011.08.09 17:59:36 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011.08.09 17:28:42 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsSearch
[2011.08.09 13:43:41 | 000,000,000 | ---D | C] -- C:\Users\Admin\Documents\BaFög
[2011.08.09 11:57:29 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{674DFE49-F584-4EF6-B17C-9C8BA7624020}
[2011.08.09 11:57:15 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{7878D6C1-150C-4EAE-9B96-AAB755BFC765}
[2011.08.08 16:00:18 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{A3E22906-1A54-4411-9B26-CDB7921A5418}
[2011.08.08 15:59:56 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{C2E8339B-55B4-467F-B3A8-5FCCCCB8095C}
[2011.08.07 23:44:59 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{3ADAE302-1C44-4D76-91A3-BE9B1D22380F}
[2011.08.07 23:44:58 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{B61B1800-7037-447A-AC1F-ED3D870F730E}
[2011.08.06 16:42:25 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{C3705ED2-D531-4179-AFB0-FC317CFC8E91}
[2011.08.05 11:49:46 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{1D8B70B1-2766-44FA-9577-AB161998536F}
[2011.08.05 11:49:28 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{2BC1701D-E2B1-40E0-8E89-1B9C2F090BD2}
[2011.08.04 10:26:43 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{F97D3A39-F6E8-463B-BBA5-C1571B776E03}
[2011.08.04 10:26:18 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{8EE4828D-641E-42E2-B3EA-344405A1CDB2}
[2011.08.04 00:31:11 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{14DBF0F1-FD34-45B7-A7C9-7762BCC738B0}
[2011.08.03 16:50:52 | 000,000,000 | ---D | C] -- C:\Users\Admin\Documents\2011_08_03
[2011.08.03 16:45:37 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Canon
[2011.08.03 16:44:13 | 000,000,000 | ---D | C] -- C:\ProgramData\CanonBJ
[2011.08.03 16:42:56 | 000,216,064 | ---- | C] (CANON INC.) -- C:\Windows\System32\CNMLM8S.DLL
[2011.08.03 16:31:19 | 000,000,000 | ---D | C] -- C:\Program Files\Canon
[2011.08.03 11:21:45 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{98616688-5746-46E2-96D5-3709E60B4703}
[2011.08.03 11:21:37 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{0CB8A063-7C8B-4223-8722-EBBD2C4E802E}
[2011.08.03 11:21:36 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{5EDE80A4-4D84-474E-824E-2A8964E5C013}
[2011.08.02 21:35:50 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{F07CD4EB-65A8-4BBA-B481-D7F625632802}
[2011.08.02 21:35:37 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{5DFB23BD-67FF-4D88-B448-2D811D95327F}
[2011.08.02 09:55:41 | 000,000,000 | ---D | C] -- C:\Users\Admin\Documents\Meine empfangenen Dateien
[2011.08.02 09:35:15 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{B3EFD0B3-F8A5-4A63-9284-FE196D2E8E91}
[2011.08.02 09:35:11 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{A2F75EDF-27B3-4307-81FD-7F36B366A816}
[2011.08.02 01:08:13 | 000,000,000 | ---D | C] -- C:\Users\Admin\Documents\prince
[2011.08.01 01:38:48 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{2130C5B3-0AAC-4FC6-8C59-7BCA0B26D3F9}
[2011.08.01 01:32:08 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{E04867DC-9E03-440E-B78E-56E984C3FD74}
[2011.07.29 15:09:54 | 002,043,392 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2011.07.29 15:09:51 | 000,375,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\winsrv.dll
[2011.07.29 15:09:51 | 000,049,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\csrsrv.dll
[2011.07.27 20:41:48 | 000,000,000 | ---D | C] -- C:\Program Files\TeamViewer
[2011.07.26 10:28:12 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{21F991C7-1540-44DB-BD67-8E4896DFD49E}
[2011.07.25 17:51:02 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\{30CAD578-2435-459C-A7CC-3F5021053DE7}
[2011.07.25 17:50:47 | 000,000,000 | ---D | C] -- C:\Users\Admin\Tracing
[2011.07.25 17:19:03 | 000,000,000 | ---D | C] -- C:\Windows\de
[2011.07.25 17:17:14 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft SQL Server Compact Edition
[2011.07.25 17:15:39 | 000,000,000 | ---D | C] -- C:\Windows\PCHEALTH
[2011.07.25 17:15:24 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Live
[2011.07.25 17:13:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight
[2011.07.25 17:13:16 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Silverlight
[2011.07.25 17:12:00 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\Windows Live
[2011.07.25 17:11:59 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Windows Live
[2006.11.24 23:14:44 | 000,139,264 | ---- | C] ( ) -- C:\Windows\System32\MACSSDK_wiz.dll
[2006.11.24 23:14:44 | 000,126,976 | ---- | C] ( ) -- C:\Windows\System32\MACSSDK.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.08.16 00:18:08 | 000,027,839 | ---- | M] () -- C:\ProgramData\nvModes.001
[2011.08.16 00:17:55 | 000,027,839 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2011.08.16 00:17:45 | 000,000,374 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts.ics
[2011.08.16 00:17:12 | 000,003,712 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.08.16 00:17:11 | 000,003,712 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.08.16 00:17:05 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.08.16 00:16:37 | 3215,552,512 | -HS- | M] () -- C:\hiberfil.sys
[2011.08.15 22:14:45 | 124,539,416 | ---- | M] (Kaspersky Lab) -- C:\Users\Admin\Desktop\pure9.1.0.124de.exe
[2011.08.14 14:09:22 | 000,628,742 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.08.14 14:09:22 | 000,595,996 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.08.14 14:09:22 | 000,126,454 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.08.14 14:09:22 | 000,104,070 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.08.14 13:39:23 | 000,000,804 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2011.08.14 13:38:36 | 003,447,576 | ---- | M] (Piriform Ltd) -- C:\Users\Admin\Desktop\ccsetup309.exe
[2011.08.14 11:40:08 | 000,089,088 | ---- | M] () -- C:\Windows\System32\mbr.exe
[2011.08.14 11:40:08 | 000,089,088 | ---- | M] () -- C:\Users\Admin\Desktop\mbr.exe
[2011.08.13 23:06:16 | 000,014,120 | ---- | M] () -- C:\Users\Admin\Documents\bookmarks-2011-08-13.json
[2011.08.13 21:26:55 | 000,000,040 | ---- | M] () -- C:\Users\Public\Documents\_rgpl
[2011.08.13 21:01:57 | 000,000,098 | ---- | M] () -- C:\Windows\System32\drivers\etc\Hosts
[2011.08.13 16:01:36 | 002,322,184 | ---- | M] (ESET) -- C:\Users\Admin\Desktop\esetsmartinstaller_enu.exe
[2011.08.13 15:01:11 | 000,100,864 | ---- | M] (GMER) -- C:\aglorpod.sys
[2011.08.13 14:45:17 | 000,302,592 | ---- | M] () -- C:\Users\Admin\Desktop\6xnt2mxq.exe
[2011.08.12 02:48:29 | 000,000,846 | ---- | M] () -- C:\Users\Admin\Desktop\firefox - Verknüpfung.lnk
[2011.08.11 21:06:53 | 000,002,379 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2011.08.11 20:25:47 | 000,000,056 | -H-- | M] () -- C:\Windows\System32\ezsidmv.dat
[2011.08.11 20:21:12 | 019,075,976 | ---- | M] (Skype Technologies S.A.) -- C:\Program Files\SkypeSetup_4.2.0.187.exe
[2011.08.11 19:23:10 | 001,081,480 | ---- | M] (Skype Technologies S.A.) -- C:\Program Files\SkypeSetup.exe
[2011.08.11 18:52:48 | 000,000,104 | ---- | M] () -- C:\Users\Admin\Desktop\Computer - Verknüpfung.lnk
[2011.08.11 16:51:38 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.08.11 16:33:10 | 001,404,720 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\Admin\Desktop\TDSSKiller.exe
[2011.08.09 20:28:54 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
[2011.08.09 20:28:06 | 009,466,208 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\Admin\Desktop\mbam-setup-1.51.1.1800.exe
[2011.08.09 17:52:01 | 000,252,888 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.07.30 20:13:15 | 000,020,480 | ---- | M] () -- C:\Users\Admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== Files Created - No Company Name ==========
 
[2011.08.14 13:39:23 | 000,000,804 | ---- | C] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2011.08.14 11:41:12 | 000,089,088 | ---- | C] () -- C:\Windows\System32\mbr.exe
[2011.08.14 11:40:22 | 000,089,088 | ---- | C] () -- C:\Users\Admin\Desktop\mbr.exe
[2011.08.14 10:19:42 | 3215,552,512 | -HS- | C] () -- C:\hiberfil.sys
[2011.08.13 23:06:16 | 000,014,120 | ---- | C] () -- C:\Users\Admin\Documents\bookmarks-2011-08-13.json
[2011.08.13 21:26:55 | 000,000,040 | ---- | C] () -- C:\Users\Public\Documents\_rgpl
[2011.08.13 14:45:25 | 000,302,592 | ---- | C] () -- C:\Users\Admin\Desktop\6xnt2mxq.exe
[2011.08.12 02:48:29 | 000,000,846 | ---- | C] () -- C:\Users\Admin\Desktop\firefox - Verknüpfung.lnk
[2011.08.11 20:25:47 | 000,000,056 | -H-- | C] () -- C:\Windows\System32\ezsidmv.dat
[2011.08.11 20:24:16 | 000,002,379 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk
[2011.08.11 18:52:48 | 000,000,104 | ---- | C] () -- C:\Users\Admin\Desktop\Computer - Verknüpfung.lnk
[2011.08.11 16:51:38 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.08.09 17:22:59 | 000,504,657 | ---- | C] () -- C:\Users\Admin\Desktop\unhide.exe
[2011.07.04 20:37:23 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2011.06.18 19:33:20 | 000,165,376 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys
[2011.06.18 19:33:10 | 000,018,048 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys
[2011.06.12 23:40:48 | 000,023,580 | ---- | C] () -- C:\Users\Admin\AppData\Roaming\UserTile.png
[2011.06.10 18:03:18 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2011.06.10 07:35:42 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2011.06.10 07:35:42 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2011.06.09 21:15:21 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2011.06.09 20:43:28 | 000,020,480 | ---- | C] () -- C:\Users\Admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.06.09 19:13:49 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2011.06.09 18:44:14 | 000,000,684 | ---- | C] () -- C:\Windows\HotFixList.ini
[2011.06.09 18:40:46 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2011.06.09 18:39:06 | 000,027,839 | ---- | C] () -- C:\ProgramData\nvModes.001
[2011.06.09 18:39:05 | 000,027,839 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2011.06.09 18:25:49 | 000,000,135 | R--- | C] () -- C:\Windows\System32\lngEng.ini
[2011.06.09 18:25:49 | 000,000,117 | ---- | C] () -- C:\Windows\System32\lngKor.ini
[2011.06.09 18:16:42 | 000,040,960 | ---- | C] () -- C:\Windows\System32\IhDEV.exe
[2011.06.09 18:16:42 | 000,024,576 | ---- | C] () -- C:\Windows\System32\IhINF.exe
[2011.06.09 18:05:05 | 000,000,680 | ---- | C] () -- C:\Users\Admin\AppData\Local\d3d9caps.dat
[2008.01.21 09:15:58 | 000,628,742 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2008.01.21 09:15:58 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2008.01.21 09:15:58 | 000,126,454 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2008.01.21 09:15:58 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2007.02.26 16:49:12 | 006,139,774 | ---- | C] () -- C:\Windows\System32\imagine digital freedom.dat
[2007.02.16 01:51:02 | 000,274,432 | ---- | C] () -- C:\Windows\System32\NDADLL.dll
[2006.11.30 02:00:30 | 000,045,056 | ---- | C] () -- C:\Windows\System32\MAWebControl.exe
[2006.11.30 02:00:28 | 000,307,200 | ---- | C] () -- C:\Windows\System32\LDBGenWizView.dll
[2006.11.02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006.11.02 14:47:37 | 000,252,888 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 12:33:01 | 000,595,996 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006.11.02 12:33:01 | 000,104,070 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006.10.09 19:01:28 | 000,061,440 | ---- | C] () -- C:\Windows\System32\AVSAudioWideStereoDMO.dll
 
========== LOP Check ==========
 
[2011.08.03 16:45:51 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Canon
[2011.08.12 16:20:23 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\ICQ
[2011.06.12 23:40:48 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\PeerNetworking
[2011.08.16 00:16:02 | 000,032,572 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---


2
OTL Logfile:
Code:
OTL Extras logfile created on: 16.08.2011 00:18:48 - Run 6
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Admin\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 66,93% Memory free
6,18 Gb Paging File | 5,22 Gb Available in Paging File | 84,35% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 222,88 Gb Total Space | 159,04 Gb Free Space | 71,35% Space Free | Partition Type: NTFS
 
Computer Name: ADMIN-PC | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-679186329-3352478774-2945693008-1000]
"EnableNotifications" = 0
"EnableNotificationsRef" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DoNotAllowExceptions" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0ADBA36C-E641-4E0B-91E4-F52954F52A2B}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{13251F6D-25E0-4221-9637-A62C4D4D30BD}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe |
"{15146B19-FF7C-4855-B6A5-F90DF6178022}" = rport=137 | protocol=17 | dir=out | app=system |
"{1556D602-93B9-4300-9751-14F06D0CE541}" = lport=53 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{2A26A99E-F55F-4B15-9582-4EA040562D0D}" = lport=67 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{3BFD8104-3A86-4E03-B26F-002F23B03C55}" = rport=445 | protocol=6 | dir=out | app=system |
"{3EA02309-F11D-43D6-B8A2-9FD85A3D0379}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{418FEDB7-73DA-4219-94CC-929D2A794FB1}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) |
"{4E35DF6D-A8A9-4EF8-9069-5B3F33732498}" = rport=138 | protocol=17 | dir=out | app=system |
"{616BE416-E9D8-41D4-99AC-5B435FA21864}" = lport=137 | protocol=17 | dir=in | app=system |
"{68F19B96-B633-4690-B3D4-58A1AD7A55B5}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{6A0A9154-99C3-41EE-808F-4950353357CF}" = lport=547 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{80BDE7CD-9EAC-4CC7-AF1D-CEA1687DDDAB}" = rport=139 | protocol=6 | dir=out | app=system |
"{82B1649E-4EC5-4FDD-92AA-51586073F31E}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{8FF5DC36-0D3D-4C5D-923D-94345E33431D}" = lport=445 | protocol=6 | dir=in | app=system |
"{96B24376-A280-4CF0-B713-7D33B7B00D0D}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) |
"{A858AEEC-1AF3-4567-80C7-F74D8E781589}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{B9E2BBE0-5FA5-46FD-A9D0-D063A19F6FA2}" = lport=138 | protocol=17 | dir=in | app=system |
"{BAC83331-82BE-4637-A7EB-2FE71F8E45B5}" = lport=68 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{C3B2B21E-8511-48BA-9950-8824CE9B6137}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{C9BAD1CC-2E9A-42AB-894A-946EC7BE733F}" = rport=2869 | protocol=6 | dir=out | app=system |
"{CF281BBD-7CBA-463A-BF8F-48A1E6B189E0}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{D86575B9-5514-45B5-B955-9CC47207AE48}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{DE7966DE-3C54-4E2B-8A8F-5E0826D16F2C}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{E3209084-DED2-44B0-B131-517FED2C2BB4}" = lport=2869 | protocol=6 | dir=in | app=system |
"{EE17490A-453A-486B-B5C7-0465038C5149}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{F9B9108C-5B4F-4DEF-B0E0-C64DE3D2D4DC}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe |
"{F9F82218-D3F2-4985-959E-0E1D83D6A671}" = lport=139 | protocol=6 | dir=in | app=system |
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0C4058D6-466F-4DF1-8563-1B73AEE2D085}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe |
"{0C437E0D-541C-4A3E-9877-3CB2E2264674}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{0CC42F0B-CC1E-4F19-9CB2-2EE06B02D19B}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{1BEE355E-14A5-4746-BF13-EA3B60C96C5C}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{2108BD04-B816-4659-888A-A05815F9B6D7}" = protocol=17 | dir=in | app=c:\program files\teamviewer\version6\teamviewer_service.exe |
"{241813D0-BD8C-4D2E-B14E-573B85D04586}" = protocol=6 | dir=in | app=c:\program files\teamviewer\version6\teamviewer.exe |
"{242D6C48-4222-4C19-9664-76D0D433963F}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{2AAED9A4-B04B-4EAE-83F7-0C647FF5A478}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{2B51C36C-4B96-4F79-ADBB-F2AF837D739C}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{317F13BB-C9FF-48A7-8247-4C91F90CC3EE}" = protocol=6 | dir=in | app=c:\program files\teamviewer\version6\teamviewer_service.exe |
"{371F089A-29CE-4E27-91B0-CEFB40B05906}" = dir=out | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{40E3C68C-CD6F-4103-AC79-85D1D87EDD74}" = protocol=17 | dir=in | app=c:\program files\ubisoft\assassin's creed brotherhood\acbmp.exe |
"{42B3BFF8-CFC3-4C1E-9D81-5CF0C4E10189}" = protocol=17 | dir=in | app=c:\program files\icq7.5\icq.exe |
"{452F5643-B50A-4ABE-A191-84E6726320D6}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{50EAF023-5BCC-44EC-852D-874FEBECA39F}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{515DAF4F-EA65-497A-A014-48D276D03453}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{55A87A74-1A9A-4D92-9EFB-F8AF3E176A5C}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{577E609D-0042-441B-9138-18B56DF9A621}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{5D54B558-6AB3-4876-BF74-FCFFCFAECE96}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{675F1147-6BCD-43FC-95F3-5983294485F1}" = protocol=17 | dir=in | app=c:\program files\icq7.5\icq.exe |
"{6BA6EBB8-462F-40EA-88C1-7CB1D1A90937}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{7C6BDC9A-7F9C-4A1B-9E2B-0137A77E2188}" = dir=in | app=c:\program files\windows live\contacts\wlcomm.exe |
"{833CB862-9911-4101-B067-16A1BA9BE03F}" = protocol=58 | dir=in | name=@hnetcfg.dll,-148 |
"{9D8FE41A-DCE3-4D9E-A33C-9E2F049ED668}" = dir=in | app=c:\program files\cyberlink\powerdirector\pdr.exe |
"{ACCED9F2-1245-4269-AB9E-3674FFD9510B}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{AD7F6F1F-5F9F-46E7-953C-F1E77037A50D}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{AEE2E7C9-17AB-46EA-915F-DFDE265E690F}" = protocol=17 | dir=in | app=c:\program files\teamviewer\version6\teamviewer.exe |
"{B0C7792B-9FEC-42DE-B083-52B028054523}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{B2ED03F3-4D9B-4E3C-A5FB-D554337F389F}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{B3A0AE9B-1CF5-4653-B159-6BC9BB0E3279}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{B426F91E-BB9F-40C5-808F-CAA63E1AF467}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{B99F807B-FE70-4F9D-ABFC-C2DFA8447397}" = protocol=6 | dir=in | app=c:\program files\icq7.5\icq.exe |
"{BD5BF57E-A991-4502-BDF1-61067FF8D021}" = protocol=6 | dir=in | app=c:\program files\ubisoft\assassin's creed brotherhood\acbmp.exe |
"{BDA0A150-C483-4122-ADD0-BCCC88C1B4BA}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{BECF143A-F351-4F69-B285-16B7370859C6}" = dir=in | app=c:\program files\skype\plugin manager\skypepm.exe |
"{BEF99939-DA35-4AF6-A55C-12A938A6ED13}" = protocol=6 | dir=in | app=c:\program files\icq7.5\icq.exe |
"{C6FFC124-EE7F-4C96-BFD3-39702B72F407}" = dir=in | app=c:\program files\cyberlink\powerdvd\powerdvd.exe |
"{E08B9F28-9A1B-4176-AF59-F366E0E6B6B5}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{FDD100B9-ED24-45FB-A6A0-4F38A60195D5}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"TCP Query User{6B966A52-A656-44C7-9657-4F933945FC93}C:\program files\icq7.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq7.5\icq.exe |
"TCP Query User{A51E600C-B375-49E0-91BB-0ACB096B7221}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe |
"UDP Query User{69901D32-F6D1-4CC7-8085-8AF950869624}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe |
"UDP Query User{873C3911-A7F4-4B1F-8E0B-7F3230495136}C:\program files\icq7.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq7.5\icq.exe |
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{004C5DA2-2051-4D25-94BA-51CF810C91EB}" = LightScribe System Software  1.12.37.1
"{00AF10C1-44BD-4862-9D7F-24E6BA3E87FD}" = imagine digital freedom - Samsung
"{04983D37-2202-4295-94A2-8B547C66133F}" = Atheros WLAN Client
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution III
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{1BA1DBDC-5431-46FD-A66F-A17EB1C439EE}" = Windows Live Messenger
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}" = Samsung Magic Doctor
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{36BEAD11-8577-49AD-9250-E06A50AE87B0}" = Microsoft SOAP Toolkit 2.0 SP2
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{4EA8EA5D-8E46-4698-9BF7-2F2AD8E1C185}" = Easy Network Manager 3.0
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{58D68DF0-4E8B-4E9E-B425-670F9E37C1A8}" = TES Construction Set
"{5DD4FCBD-A3C1-4155-9E17-4161C70AAABA}" = Segoe UI
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus
"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Easy Battery Manager
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71A51B09-E7D3-11DB-A386-005056C00008}" = Vimicro UVC Camera
"{7578ADEA-D65F-4C89-A249-B1C88B6FFC20}" = ICQ7.5
"{804F1285-8CBF-408D-8CDC-D4D40003B2E4}" = PlayCamera
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{955597D8-E5E1-474D-B647-60AC44566D24}" = Play AVStation
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AC76BA86-7AD7-1031-7B44-A81000000003}" = Adobe Reader 8.1.0 - Deutsch
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = LabelPrint
"{C6150D8A-86ED-41D3-87BB-F3BB51B0B77F}" = Windows Live ID Sign-in Assistant
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{E5B21F11-6933-4E0B-A25C-7963E3C07D11}" = Windows Live Messenger
"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{F9835182-794B-4F24-902A-E2CA9D43380F}" = NVIDIA PhysX
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Boom Voyage" = Boom Voyage (remove only)
"CanonMyPrinter" = Canon My Printer
"CCleaner" = CCleaner
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"ESET Online Scanner" = ESET Online Scanner v3
"InstallShield_{4EA8EA5D-8E46-4698-9BF7-2F2AD8E1C185}" = Easy Network Manager 3.0
"InstallShield_{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus
"InstallShield_{955597D8-E5E1-474D-B647-60AC44566D24}" = Play AVStation
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 5.0 (x86 de)" = Mozilla Firefox 5.0 (x86 de)
"MP Navigator EX 1.0" = Canon MP Navigator EX 1.0
"NVIDIA Drivers" = NVIDIA Drivers
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TeamViewer 6" = TeamViewer 6
"VLC media player" = VLC media player 1.1.10
"WinLiveSuite" = Windows Live Essentials
"YDKJG3" = YOU DON'T KNOW JACK® 3 - Abwärts!
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 13.08.2011 17:32:02 | Computer Name = Admin-PC | Source = System Restore | ID = 8209
Description =
 
Error - 13.08.2011 17:49:54 | Computer Name = Admin-PC | Source = EventSystem | ID = 4609
Description =
 
Error - 13.08.2011 17:50:53 | Computer Name = Admin-PC | Source = System Restore | ID = 8209
Description =
 
Error - 13.08.2011 17:51:00 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 14.08.2011 04:21:29 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 14.08.2011 04:51:22 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 14.08.2011 07:29:51 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 14.08.2011 10:54:23 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 15.08.2011 15:29:51 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
Error - 15.08.2011 18:18:24 | Computer Name = Admin-PC | Source = WinMgmt | ID = 10
Description =
 
[ Media Center Events ]
Error - 12.06.2011 02:10:16 | Computer Name = Admin-PC | Source = Media Center Guide | ID = 0
Description = Ereignisinformationen: ERROR: SqmApiWrapper.SqmFlushSession failed;
 Win32 GetLastError returned 0D  Prozess: DefaultDomain Objektname: Media Center Guide

 
[ System Events ]
Error - 09.06.2011 15:28:20 | Computer Name = Admin-PC | Source = HTTP | ID = 15016
Description =
 
Error - 09.06.2011 15:28:36 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
Error - 09.06.2011 15:32:47 | Computer Name = Admin-PC | Source = DCOM | ID = 10010
Description =
 
Error - 09.06.2011 15:58:06 | Computer Name = Admin-PC | Source = HTTP | ID = 15016
Description =
 
Error - 09.06.2011 15:59:23 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
Error - 10.06.2011 00:54:44 | Computer Name = Admin-PC | Source = HTTP | ID = 15016
Description =
 
Error - 10.06.2011 00:56:02 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
Error - 10.06.2011 11:56:25 | Computer Name = Admin-PC | Source = HTTP | ID = 15016
Description =
 
Error - 10.06.2011 11:56:52 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
Error - 10.06.2011 12:32:36 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7000
Description =
 
 
< End of report >
--- --- ---


MBR-Scann wird jetzt gemacht.

me pure 15.08.2011 23:43
So ich poste nochmal den Log vom MBR

Zitat:
aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-16 00:35:18
-----------------------------
00:35:18.476 OS Version: Windows 6.0.6002 Service Pack 2
00:35:18.476 Number of processors: 2 586 0xF0D
00:35:18.477 ComputerName: ADMIN-PC UserName: Admin
00:35:19.470 Initialize success
00:35:30.068 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
00:35:30.072 Disk 0 Vendor: FUJITSU_ 0000 Size: 238475MB BusType: 3
00:35:30.090 Disk 0 MBR read successfully
00:35:30.098 Disk 0 MBR scan
00:35:30.102 Disk 0 TDL4@MBR code has been found
00:35:30.108 Disk 0 Windows VISTA default MBR code found via API
00:35:30.113 Disk 0 MBR hidden
00:35:30.119 Disk 0 MBR [TDL4] **ROOTKIT**
00:35:30.125 Disk 0 trace - called modules:
00:35:30.132 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86ba3ed1]<<
00:35:30.138 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85f35ac8]
00:35:30.144 3 CLASSPNP.SYS[8aaa88b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x8543f028]
00:35:30.151 \Driver\iaStor[0x84a70980] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x86ba3ed1
00:35:30.158 Scan finished successfully
00:36:57.627 Disk 0 MBR has been saved successfully to "C:\Users\Admin\Desktop\MBR.dat"
00:36:57.636 The log file has been saved successfully to "C:\Users\Admin\Desktop\aswMBR.txt"
nach dem fix hat er mich zu einem neustart aufgefordert. Avira meldet sich immernoch wegen dem tdss-ding.

wie gehts jetzt weiter?

kira 16.08.2011 05:40
1.
MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

2.
Funde nicht löschen lassen!
Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum
- Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits)
Bemerkung:
"(Klick auf das Bild, um es zu vergrößern!)" - bitte tue nicht, da leider funktioniert nicht mehr!!
Logs speichern/posten

me pure 16.08.2011 20:06
Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer: Phoenix Technologies Ltd.
System Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
System Product Name: R510/P510
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 139):
0x82046000 \SystemRoot\system32\ntoskrnl.exe
0x82013000 \SystemRoot\system32\hal.dll
0x82402000 \SystemRoot\system32\kdcom.dll
0x82404000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x82474000 \SystemRoot\system32\PSHED.dll
0x82485000 \SystemRoot\system32\BOOTVID.dll
0x8248D000 \SystemRoot\system32\CLFS.SYS
0x824CE000 \SystemRoot\system32\CI.dll
0x825AE000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8262A000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x82637000 \SystemRoot\system32\drivers\acpi.sys
0x8267D000 \SystemRoot\system32\drivers\WMILIB.SYS
0x82686000 \SystemRoot\system32\drivers\msisadrv.sys
0x8268E000 \SystemRoot\system32\drivers\pci.sys
0x826B5000 \SystemRoot\System32\drivers\partmgr.sys
0x826C4000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x826C7000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x826D1000 \SystemRoot\system32\drivers\volmgr.sys
0x826E0000 \SystemRoot\System32\drivers\volmgrx.sys
0x8272A000 \SystemRoot\System32\drivers\mountmgr.sys
0x8A40A000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8A4DA000 \SystemRoot\system32\drivers\atapi.sys
0x8A4E2000 \SystemRoot\system32\drivers\ataport.SYS
0x8A500000 \SystemRoot\system32\drivers\msahci.sys
0x8A50A000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x8A518000 \SystemRoot\system32\drivers\fltmgr.sys
0x8A54A000 \SystemRoot\system32\drivers\fileinfo.sys
0x8A55A000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8A5CB000 \SystemRoot\system32\drivers\ndis.sys
0x8A6D6000 \SystemRoot\system32\drivers\msrpc.sys
0x8A701000 \SystemRoot\system32\drivers\NETIO.SYS
0x8A808000 \SystemRoot\System32\drivers\tcpip.sys
0x8A8F2000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8A90D000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8AA1D000 \SystemRoot\system32\drivers\volsnap.sys
0x8AA56000 \SystemRoot\System32\Drivers\spldr.sys
0x8AA5E000 \SystemRoot\System32\Drivers\mup.sys
0x8AA6D000 \SystemRoot\System32\drivers\ecache.sys
0x8AA94000 \SystemRoot\system32\drivers\disk.sys
0x8AAA5000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8AAC6000 \SystemRoot\system32\drivers\crcdisk.sys
0x8ABAC000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8ABB7000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8E807000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8EF34000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8EFD4000 \SystemRoot\System32\drivers\watchdog.sys
0x8EFE0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8ABC0000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8EFEB000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8A73C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8273A000 \SystemRoot\system32\DRIVERS\athr.sys
0x8F003000 \SystemRoot\system32\DRIVERS\yk60x86.sys
0x8F04F000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8F053000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8F066000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8F071000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8F09F000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8F0A1000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8F0AC000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8F0C4000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8F0D3000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8F102000 \SystemRoot\system32\DRIVERS\storport.sys
0x8F143000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8F14E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8F165000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8F170000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8F193000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8F1A2000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8F1B6000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8F1CB000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8F1DB000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8F1DD000 \SystemRoot\system32\DRIVERS\ks.sys
0x8F207000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8F211000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8F21E000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8F253000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8F401000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8F601000 \SystemRoot\system32\drivers\portcls.sys
0x8F62E000 \SystemRoot\system32\drivers\drmk.sys
0x8F653000 \SystemRoot\system32\drivers\HdAudio.sys
0x8F692000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8F69B000 \SystemRoot\System32\Drivers\Null.SYS
0x8F6A2000 \SystemRoot\System32\Drivers\Beep.SYS
0x8F6A9000 \SystemRoot\System32\drivers\vga.sys
0x8F6B5000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8F6D6000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8F6DE000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8F6E6000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8F6F1000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8F6FF000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8F708000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8F71E000 \SystemRoot\system32\DRIVERS\smb.sys
0x8F732000 \SystemRoot\system32\drivers\afd.sys
0x8F77A000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8F7AC000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8F7C2000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8F7D0000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8F7E3000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8F264000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8F7E9000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8F2A0000 \SystemRoot\System32\Drivers\dfsc.sys
0x8F2B7000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8F2DE000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8F2F5000 \SystemRoot\System32\Drivers\VMC302.sys
0x8F7F3000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8AACF000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x96C30000 \SystemRoot\System32\win32k.sys
0x8F331000 \SystemRoot\System32\drivers\Dxapi.sys
0x8F33B000 \SystemRoot\system32\DRIVERS\monitor.sys
0x96E50000 \SystemRoot\System32\TSDDD.dll
0x96E70000 \SystemRoot\System32\cdd.dll
0x8F34A000 \SystemRoot\system32\drivers\luafv.sys
0x8F365000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8F37C000 \SystemRoot\system32\DRIVERS\kmdfmemio.sys
0x9B003000 \SystemRoot\system32\drivers\spsys.sys
0x9B0B3000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x9B0C3000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x9B0ED000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9B0F7000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9B10A000 \SystemRoot\system32\drivers\HTTP.sys
0x9B177000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9B194000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9B1AD000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9B1C2000 \SystemRoot\system32\drivers\mrxdav.sys
0x9B1E3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9B202000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9B23B000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9B253000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9B27B000 \SystemRoot\System32\DRIVERS\srv.sys
0x9B2E2000 \SystemRoot\system32\DRIVERS\atksgt.sys
0x9B30B000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0x9B310000 \SystemRoot\system32\drivers\peauth.sys
0x9B3EE000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9B2CA000 \SystemRoot\System32\drivers\tcpipreg.sys
0x8F384000 \SystemRoot\system32\DRIVERS\ipnat.sys
0x8F3AA000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x9B2DA000 \SystemRoot\system32\drivers\MSPQM.sys
0x9B2DC000 \SystemRoot\system32\drivers\MSPCLOCK.sys
0x77D40000 \Windows\System32\ntdll.dll

Processes (total 72):
0 System Idle Process
4 System
536 C:\Windows\System32\smss.exe
604 csrss.exe
656 C:\Windows\System32\wininit.exe
664 csrss.exe
700 C:\Windows\System32\services.exe
712 C:\Windows\System32\lsass.exe
720 C:\Windows\System32\lsm.exe
872 C:\Windows\System32\svchost.exe
924 C:\Windows\System32\nvvsvc.exe
952 C:\Windows\System32\svchost.exe
1000 C:\Windows\System32\svchost.exe
1036 C:\Windows\System32\svchost.exe
1072 C:\Windows\System32\svchost.exe
1088 C:\Windows\System32\svchost.exe
1168 C:\Windows\System32\audiodg.exe
1188 C:\Windows\System32\svchost.exe
1204 C:\Windows\System32\SLsvc.exe
1252 C:\Windows\System32\svchost.exe
1348 C:\Windows\System32\winlogon.exe
1432 C:\Windows\System32\svchost.exe
1604 C:\Windows\System32\rundll32.exe
1820 C:\Windows\System32\spoolsv.exe
1900 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1916 C:\Windows\System32\svchost.exe
1996 C:\Windows\System32\dwm.exe
2004 C:\Windows\System32\taskeng.exe
424 C:\Windows\explorer.exe
668 C:\Program Files\SamSung\Easy Display Manager\dmhkcore.exe
416 C:\Program Files\SamSung\EasySpeedUpManager\EasySpeedUpManager.exe
1756 C:\Program Files\SamSung\EBM\EasyBatteryMgr3.exe
1156 C:\Program Files\SamSung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
2188 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
2272 C:\Program Files\Common Files\LightScribe\LSSrvc.exe
2364 C:\Windows\System32\svchost.exe
2416 C:\Program Files\CyberLink\Shared Files\RichVideo.exe
2484 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
2572 C:\Windows\System32\svchost.exe
2596 C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
2620 C:\Windows\System32\taskeng.exe
2844 C:\Windows\System32\svchost.exe
2872 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
2932 C:\Windows\System32\SearchIndexer.exe
3104 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
3348 C:\Program Files\Windows Defender\MSASCui.exe
3364 C:\Windows\System32\rundll32.exe
3392 C:\Windows\RtHDVCpl.exe
3420 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
3760 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
3884 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3916 C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
3956 C:\Program Files\Windows Sidebar\sidebar.exe
3980 C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
3988 C:\Windows\ehome\ehtray.exe
4064 C:\Program Files\Windows Media Player\wmpnscfg.exe
1084 C:\Windows\ehome\ehmsas.exe
2784 C:\Program Files\Windows Sidebar\sidebar.exe
1708 C:\Windows\System32\alg.exe
1416 C:\Windows\System32\svchost.exe
3244 C:\Program Files\Windows Media Player\wmpnetwk.exe
3696 WmiPrvSE.exe
4424 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
1068 C:\Windows\System32\wuauclt.exe
2392 C:\Program Files\Internet Explorer\iexplore.exe
2696 C:\Program Files\Internet Explorer\iexplore.exe
5400 C:\Windows\System32\conime.exe
4300 C:\Program Files\Mozilla Firefox\firefox.exe
3668 C:\Program Files\Mozilla Firefox\plugin-container.exe
3076 C:\Windows\System32\SearchProtocolHost.exe
4924 C:\Windows\System32\SearchFilterHost.exe
5348 C:\Users\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`80100000 (NTFS)

PhysicalDrive0 Model Number: FUJITSUMHZ2250BHG2, Rev: 00000009

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 38BE7869FCCF026F920DA4A541B12E68993C36ED


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:
muss ich da noch irgendwas eingeben?


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:58 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131