Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen (https://www.trojaner-board.de/107946-desinfect-findet-trojan-generic-7110870-exp-cve-2010-3653-a-tr-crypt-xpack-gen.html)

wesselow 11.01.2012 15:16
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen
 
Hallo,

ich habe auf meinen Windows XP-System SP3 in letzter Zeit mit einigen Anwendungen Probleme gehabt und daraufhin mal mit der Boot-CD desinfec't der Zeitschrift c't den PC untersucht. Folgende Sachen wurden gefunden:

Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen

Daraufhin habe ich nach Anleitung mit OTL und GMER geprüft, anbei die Logs.

Würde mich freuen, wenn sich ein Kompetenzler der Sache annimmt.

Vielen Dank
wesselow

markusg 11.01.2012 15:41
hi,
1. welche probleme gabs?
2. wo sind die fundmeldungen die avira gemacht hatt?
3. würde ich mir gern die logs von otl und gmer ansehen, wenn sie denn da währen :-)

wesselow 11.01.2012 17:56
Hallo,

die Logs folgen noch (spätestens morgen um 7 Uhr), da GMER noch scannt.

Folgende Fehler traten auf:

Mein ftp-Client WinSCP wurde von mir gestartet, ich wähle einen Server aus und gebe die Logindaten ein, danach minimiert das Programm so das man es nur noch im Taskmanager unter Prozesse finden.

Mein Mailprogramm Thunderbird macht öfter mal "Denkpausen" von bis zu 40-50 Sekunden (man kann es dann nicht nutzen, es ist wie eingefroren).

Diverse Programme starten nur noch minimiert (z.B. wenn ich mit einem Editor eine Datei öffne).

Die Logs der 4 Virenscanner aus Desinfec't habe ich leider nicht kopiert, da das System von CD bootet und ich vergessen habe sie zu sichern. Wenn die sehr wichtig sind, scanne ich morgen nochmal. Die infizierten Dateien lagen aber alle im System Volume Information-Ordner.

VG
wesselow

markusg 11.01.2012 20:04
nein, wir schaun erst mal so :-)

wesselow 12.01.2012 07:23
Hier nun die Logs.

OTL:OTL Logfile:
Code:
OTL logfile created on: 11.01.2012 13:16:50 - Run 1
OTL by OldTimer - Version 3.2.31.0    Folder = F:\#Daten\ANTIVIRUS
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 67,65% Memory free
3,85 Gb Paging File | 3,43 Gb Available in Paging File | 89,27% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 30,53 Gb Free Space | 31,27% Space Free | Partition Type: NTFS
Drive D: | 135,23 Gb Total Space | 32,51 Gb Free Space | 24,04% Space Free | Partition Type: NTFS
Drive F: | 14,91 Gb Total Space | 10,07 Gb Free Space | 67,56% Space Free | Partition Type: FAT32
Drive N: | 97,65 Gb Total Space | 30,53 Gb Free Space | 31,27% Space Free | Partition Type: *NT5CSC
 
Computer Name: EPUBSHK03 | User Name: wehserro | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.01.11 09:36:44 | 000,584,192 | ---- | M] (OldTimer Tools) -- F:\#Daten\ANTIVIRUS\OTL.exe
PRC - [2011.12.24 17:50:18 | 000,652,872 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2011.12.05 20:17:44 | 024,242,056 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe
PRC - [2011.12.02 10:37:41 | 002,923,392 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe
PRC - [2011.08.16 20:07:00 | 000,148,520 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\system32\mfevtps.exe
PRC - [2011.08.16 20:07:00 | 000,124,224 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\shstat.exe
PRC - [2011.08.03 12:49:00 | 002,255,464 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
PRC - [2011.06.09 13:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.05.10 20:07:00 | 000,150,032 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
PRC - [2011.02.04 19:07:00 | 000,066,880 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe
PRC - [2011.02.04 19:07:00 | 000,027,960 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\mfeann.exe
PRC - [2011.02.04 19:07:00 | 000,022,816 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\engineserver.exe
PRC - [2010.08.14 06:38:14 | 000,057,344 | ---- | M] (Uwe A. Ruttkamp) -- C:\TEMP\DHCP\dhcpsrv.exe
PRC - [2010.07.04 10:49:14 | 000,075,496 | ---- | M] (tzuk) -- C:\Programme\Sandboxie\SbieSvc.exe
PRC - [2010.06.21 10:03:43 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
PRC - [2009.08.25 15:00:00 | 000,226,624 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\naPrdMgr.exe
PRC - [2009.08.25 15:00:00 | 000,136,512 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\UdaterUI.exe
PRC - [2009.08.25 15:00:00 | 000,103,744 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\FrameworkService.exe
PRC - [2009.08.25 15:00:00 | 000,091,456 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\McTray.exe
PRC - [2008.10.14 21:38:56 | 000,623,992 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
PRC - [2008.09.10 12:31:36 | 000,114,688 | ---- | M] (NVIDIA) -- C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.07.25 14:50:26 | 000,079,136 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.03.17 00:11:16 | 004,297,568 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\Cultures\OFFICE.ODF
MOD - [2010.03.25 19:07:00 | 000,148,800 | ---- | M] () -- C:\Programme\McAfee\VirusScan Enterprise\vsevntui.dll
MOD - [2009.08.25 15:00:00 | 000,057,344 | ---- | M] () -- C:\Programme\McAfee\Common Framework\boost_thread-vc71-mt-1_32.dll
MOD - [2009.02.27 15:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2007.05.11 01:31:33 | 000,921,600 | ---- | M] () -- C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdistRes.DEU
MOD - [2005.08.22 15:38:16 | 003,264,512 | ---- | M] () -- C:\Programme\McAfee\Common Framework\cryptocme2.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (metasploitPostgreSQL)
SRV - [2011.12.24 17:50:18 | 000,652,872 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011.12.02 10:37:41 | 002,923,392 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7)
SRV - [2011.08.16 20:07:00 | 000,148,520 | ---- | M] (McAfee, Inc.) [Unknown | Running] -- C:\WINDOWS\system32\mfevtps.exe -- (mfevtp)
SRV - [2011.08.03 12:49:00 | 002,255,464 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService)
SRV - [2011.06.12 11:15:00 | 031,125,880 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Office\Office14\GROOVE.EXE -- (Microsoft SharePoint Workspace Audit Service)
SRV - [2011.05.10 20:07:00 | 000,150,032 | ---- | M] (McAfee, Inc.) [Auto | Paused] -- C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe -- (McShield)
SRV - [2011.02.04 19:07:00 | 000,066,880 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe -- (McTaskManager)
SRV - [2011.02.04 19:07:00 | 000,022,816 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\engineserver.exe -- (McAfeeEngineService)
SRV - [2010.08.14 06:38:14 | 000,057,344 | ---- | M] (Uwe A. Ruttkamp) [Auto | Running] -- C:\TEMP\DHCP\dhcpsrv.exe -- (DHCPServer)
SRV - [2010.07.04 10:49:14 | 000,075,496 | ---- | M] (tzuk) [Auto | Running] -- C:\Programme\Sandboxie\SbieSvc.exe -- (SbieSvc)
SRV - [2010.06.21 10:03:43 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 21:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.08.25 15:00:00 | 000,103,744 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\Common Framework\FrameworkService.exe -- (McAfeeFramework)
SRV - [2008.09.10 12:31:36 | 000,114,688 | ---- | M] (NVIDIA) [Auto | Running] -- C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe -- (UpdateCenterService)
SRV - [2007.07.25 14:50:26 | 000,079,136 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007.06.01 09:21:30 | 000,271,920 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2012.01.09 14:55:06 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2011.12.10 15:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011.11.04 13:42:02 | 000,158,512 | ---- | M] (Oracle Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VBoxDrv.sys -- (VBoxDrv)
DRV - [2011.11.04 13:42:02 | 000,116,016 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - [2011.11.04 13:42:02 | 000,104,752 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VBoxNetAdp.sys -- (VBoxNetAdp)
DRV - [2011.11.04 13:42:02 | 000,091,440 | ---- | M] (Oracle Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VBoxUSBMon.sys -- (VBoxUSBMon)
DRV - [2011.08.16 20:07:00 | 000,461,864 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2011.08.16 20:07:00 | 000,180,072 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2011.08.16 20:07:00 | 000,119,808 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2011.08.16 20:07:00 | 000,089,624 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\mfetdi2k.sys -- (mfetdi2k)
DRV - [2011.08.16 20:07:00 | 000,087,808 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\WINDOWS\system32\drivers\mferkdet.sys -- (mferkdet)
DRV - [2011.08.16 20:07:00 | 000,059,288 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2011.06.15 09:23:56 | 000,060,156 | ---- | M] (PowerISO Computing, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\scdemu.sys -- (SCDEmu)
DRV - [2011.02.17 17:06:10 | 000,033,712 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VBoxUSB.sys -- (VBoxUSB)
DRV - [2011.02.04 19:07:00 | 000,065,960 | ---- | M] (McAfee, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)
DRV - [2010.12.03 07:26:46 | 000,025,984 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tap0901.sys -- (tap0901)
DRV - [2010.11.09 14:35:30 | 000,021,992 | ---- | M] (CPUID) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\cpuz135_x32.sys -- (cpuz135)
DRV - [2010.07.27 09:15:20 | 000,023,904 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvuvcflt.sys -- (FilterService)
DRV - [2010.07.27 09:14:58 | 006,842,464 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) Logitech QuickCam Pro 9000(UVC)
DRV - [2010.07.27 09:12:50 | 000,282,336 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2010.07.04 10:49:10 | 000,119,016 | ---- | M] (tzuk) [Kernel | On_Demand | Running] -- C:\Programme\Sandboxie\SbieDrv.sys -- (SbieDrv)
DRV - [2010.04.18 10:07:57 | 000,093,848 | ---- | M] (SysProgs.org) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BazisVirtualCDBus.sys -- (BazisVirtualCDBus)
DRV - [2010.01.25 13:56:26 | 000,115,712 | ---- | M] (HID Global Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cxbu0wdm.sys -- (cxbu0wdm)
DRV - [2009.08.04 09:28:18 | 000,011,296 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AsIO.sys -- (AsIO)
DRV - [2009.07.06 09:48:02 | 000,011,448 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AsUpIO.sys -- (AsUpIO)
DRV - [2009.06.17 17:56:32 | 000,028,560 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LUsbFilt.sys -- (LUsbFilt)
DRV - [2009.06.17 17:56:16 | 000,037,392 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2009.06.17 17:56:06 | 000,035,472 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2008.09.10 12:28:48 | 000,036,896 | ---- | M] (NVidia Corp.) [Kernel | Auto | Running] -- C:\WINDOWS\nvflash.sys -- (NVR0FLASHDev)
DRV - [2007.04.16 20:46:00 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2006.12.14 19:04:52 | 000,013,056 | ---- | M] (Ray Hinchliffe) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SIVX32.sys -- (SIVDRIVER)
DRV - [2006.11.10 14:08:50 | 000,024,064 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ATITool.sys -- (ATITool)
DRV - [2006.09.11 12:45:38 | 000,019,968 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.09.11 12:45:36 | 000,057,856 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006.08.21 11:24:28 | 000,105,344 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvata.sys -- (nvata)
DRV - [2006.03.17 17:18:58 | 000,392,960 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2004.08.13 03:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2003.09.04 11:32:48 | 000,009,886 | ---- | M] (SONIX Technology Co., LTD) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UAFilter.sys -- (uafilter)
DRV - [2003.08.13 13:33:54 | 000,404,736 | ---- | M] (Sensaura Ltd) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ausens.sys -- (ausens)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B6 68 31 04 E5 42 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = wordswile.tk:80
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.6.2
FF - prefs.js..extensions.enabledItems: {81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}:7.1.1.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.2.5.2
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.3
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:2.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.31 14:57:34 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.28 11:05:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.08.19 08:00:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.08.02 10:50:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Extensions
[2010.06.21 11:58:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.12.12 09:57:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Firefox\Profiles\p1yadxag.default\extensions
[2011.12.09 10:21:07 | 000,000,000 | ---D | M] (Zotero) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Firefox\Profiles\p1yadxag.default\extensions\zotero@chnm.gmu.edu
[2011.11.10 13:03:02 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.11.03 16:04:28 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.31 11:29:13 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.06.06 13:13:21 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA}
[2011.06.14 09:25:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011.11.10 13:03:02 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\WEHSERRO.CMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\P1YADXAG.DEFAULT\EXTENSIONS\FIREBUG@SOFTWARE.JOEHEWITT.COM.XPI
[2011.06.06 13:12:43 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.06.17 14:07:41 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.10.31 14:57:32 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.02.04 19:07:00 | 000,023,864 | ---- | M] (McAfee, Inc.) -- C:\Programme\mozilla firefox\components\Scriptff.dll
[2011.10.03 05:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.10.31 14:57:29 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.31 14:57:29 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.31 14:57:29 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.10.31 14:57:29 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.31 14:57:29 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.31 14:57:29 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - plugin: Shockwave Flash (Enabled) = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\16.0.912.75\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin7.dll
CHR - plugin: Java Deployment Toolkit 6.0.260.3 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U26 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: Microsoft Office 2003 (Enabled) = C:\Programme\Mozilla Firefox\plugins\NPOFFICE.DLL
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\16.0.912.75\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\16.0.912.75\pdf.dll
CHR - plugin: Foxit Reader Plugin for Mozilla (Enabled) = C:\Programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.71\npGoogleUpdate3.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.3_0\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.16_0\
CHR - Extension: TinEye Reverse Image Search = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\haebnnbpedcbhciplfhjjkbafijpncjl\1.1.1_0\
CHR - Extension: Download Assistant = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\mfjkgbjaikamkkojmakjclmkianficch\5.0.2_0\
CHR - Extension: BitDefender QuickScan = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pdnkcidphdcakpkheohlhocaicfamjie\0.9.9.103_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2010.08.18 10:01:27 | 000,416,705 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1        www.007guard.com
O1 - Hosts: 127.0.0.1        007guard.com
O1 - Hosts: 127.0.0.1        008i.com
O1 - Hosts: 127.0.0.1        www.008k.com
O1 - Hosts: 127.0.0.1        008k.com
O1 - Hosts: 127.0.0.1        www.00hq.com
O1 - Hosts: 127.0.0.1        00hq.com
O1 - Hosts: 127.0.0.1        010402.com
O1 - Hosts: 127.0.0.1        www.032439.com
O1 - Hosts: 127.0.0.1        032439.com
O1 - Hosts: 127.0.0.1        www.0scan.com
O1 - Hosts: 127.0.0.1        0scan.com
O1 - Hosts: 127.0.0.1        1000gratisproben.com
O1 - Hosts: 127.0.0.1        www.1000gratisproben.com
O1 - Hosts: 127.0.0.1        1001namen.com
O1 - Hosts: 127.0.0.1        www.1001namen.com
O1 - Hosts: 127.0.0.1        100888290cs.com
O1 - Hosts: 127.0.0.1        www.100888290cs.com
O1 - Hosts: 127.0.0.1        www.100sexlinks.com
O1 - Hosts: 127.0.0.1        100sexlinks.com
O1 - Hosts: 127.0.0.1        10sek.com
O1 - Hosts: 127.0.0.1        www.10sek.com
O1 - Hosts: 127.0.0.1        www.1-2005-search.com
O1 - Hosts: 127.0.0.1        1-2005-search.com
O1 - Hosts: 14381 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll (McAfee, Inc.)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll ()
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe ()
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [McAfeeUpdaterUI] C:\Programme\McAfee\Common Framework\udaterui.exe (McAfee, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [ShStatEXE] C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE (McAfee, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Biet-O-Matic.lnk = D:\privat\Biet-O-Matic\Biet-O-Matic.exe (www.bid-o-matic.org)
O4 - Startup: C:\Dokumente und Einstellungen\wehserro.CMS\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = B1 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 1
O8 - Extra context menu item: Alles mit FDM herunterladen - C:\Programme\Free Download Manager\dlall.htm ()
O8 - Extra context menu item: An vorhandenes PDF anfügen - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl mit FDM herunterladen - C:\Programme\Free Download Manager\dlselected.htm ()
O8 - Extra context menu item: Datei mit FDM herunterladen - C:\Programme\Free Download Manager\dllink.htm ()
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Videos mit FDM herunterladen - C:\Programme\Free Download Manager\dlfvideo.htm ()
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1276776350654 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1277112159968 (MUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cms.hu-berlin.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3D8B9D76-4ED5-4DE6-A6E4-C62D1A12AFA8}: NameServer = 141.20.1.3,141.1.1.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.06.17 11:55:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.01.20 10:42:35 | 000,000,000 | ---D | M] - N:\autosave.win -- [ *NT5CSC ]
O33 - MountPoints2\{1e35d53b-8284-11df-91ac-001e8cbfdb93}\Shell\AutoRun\command - "" = F:\StartPortableApps.exe
O33 - MountPoints2\{1e35d53d-8284-11df-91ac-001e8cbfdb93}\Shell\AutoRun\command - "" = F:\StartPortableApps.exe
O33 - MountPoints2\{8ec2c90f-98c3-11e0-9207-001e8cbfdb93}\Shell - "" = AutoRun
O33 - MountPoints2\{8ec2c90f-98c3-11e0-9207-001e8cbfdb93}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8ec2c90f-98c3-11e0-9207-001e8cbfdb93}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - Microsoft NetShow Player
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: AutorunsDisabled -
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe - ()
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe - (Adobe Systems Incorporated)
MsConfig - StartUpReg: Acrobat Assistant 8.0 - hkey= - key= - C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: ASUS Update Checker - hkey= - key= -  File not found
MsConfig - StartUpReg: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - hkey= - key= - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
MsConfig - StartUpReg: Free Download Manager - hkey= - key= - C:\Programme\Free Download Manager\fdm.exe (FreeDownloadManager.ORG)
MsConfig - StartUpReg: Google Update - hkey= - key= - C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe (Google Inc.)
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
MsConfig - StartUpReg: NvCplDaemon - hkey= - key= -  File not found
MsConfig - StartUpReg: NvMediaCenter - hkey= - key= -  File not found
MsConfig - StartUpReg: SandboxieControl - hkey= - key= - C:\Programme\Sandboxie\SbieCtrl.exe (tzuk)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig - StartUpReg: ttecx_hdd_led_win_xp - hkey= - key= - C:\Programme\TtecX.com\Keyboard-HDD-LED\ttecx_hdd_led_win_xp.exe (TtecX.com)
MsConfig - StartUpReg: Tweak UI 1.33 deutsch - hkey= - key= -  File not found
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.01.09 15:03:20 | 000,205,072 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys
[2012.01.09 14:54:51 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2012.01.09 14:54:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.01.09 14:54:40 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.01.09 14:54:39 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.01.09 10:19:01 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\wehserro.CMS\Recent
[2011.12.23 08:36:24 | 000,000,000 | ---D | C] -- C:\Programme\Accessdiver
[2011.12.23 08:36:11 | 002,103,406 | ---- | C] (Jean Fages                                                  ) -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\ad4.281.installer.exe
[2011.12.15 10:13:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2011.12.15 10:10:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MFAData
[2011.12.14 10:05:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.01.11 13:14:43 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\defogger_reenable
[2012.01.11 13:11:26 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.01.11 13:11:25 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.01.11 13:10:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.01.11 13:10:29 | 2145,898,496 | -HS- | M] () -- C:\hiberfil.sys
[2012.01.10 13:42:12 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\winscp.rnd
[2012.01.10 13:32:00 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.01.10 13:00:00 | 000,001,230 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-580282875-1176184684-930044561-1531UA.job
[2012.01.10 12:53:00 | 000,001,220 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-57989841-682003330-1003UA.job
[2012.01.10 12:00:00 | 000,001,178 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-580282875-1176184684-930044561-1531Core.job
[2012.01.09 15:03:18 | 000,205,072 | ---- | M] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys
[2012.01.09 14:55:06 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2012.01.09 14:53:00 | 000,001,168 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-57989841-682003330-1003Core.job
[2012.01.09 09:38:49 | 000,001,476 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\WinSCP.lnk
[2012.01.09 08:16:26 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.01.06 13:17:37 | 002,178,283 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\open-access-report-2011_en.pdf
[2012.01.06 11:40:44 | 000,517,154 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.01.06 11:40:44 | 000,472,894 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.01.06 11:40:44 | 000,100,782 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.01.06 11:40:44 | 000,075,988 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.01.06 07:17:49 | 000,246,312 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.01.05 12:30:53 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\4kcfkz1r.exe
[2011.12.23 08:36:25 | 000,001,532 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\AccessDiver.lnk
[2011.12.23 08:36:12 | 002,103,406 | ---- | M] (Jean Fages                                                  ) -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\ad4.281.installer.exe
[2011.12.19 13:43:23 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.12.15 12:59:07 | 000,002,241 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2011.12.14 10:08:03 | 000,002,676 | ---- | M] () -- C:\WINDOWS\Sandboxie.ini
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.01.11 13:14:43 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\defogger_reenable
[2012.01.09 09:51:34 | 2145,898,496 | -HS- | C] () -- C:\hiberfil.sys
[2012.01.06 13:17:37 | 002,178,283 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\open-access-report-2011_en.pdf
[2012.01.05 12:30:57 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\4kcfkz1r.exe
[2011.12.23 08:36:25 | 000,001,538 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Startmenü\Programme\AccessDiver.lnk
[2011.12.23 08:36:25 | 000,001,532 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\AccessDiver.lnk
[2011.12.08 10:37:45 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2011.10.28 10:49:17 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\MSIMHELP.DLL
[2011.09.19 09:36:26 | 002,128,778 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2011.06.23 15:04:01 | 003,774,976 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\WSCAD55Demo.msi
[2011.04.06 10:43:15 | 000,280,900 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2011.04.06 10:34:37 | 000,280,900 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2011.04.06 10:34:37 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2011.03.21 15:38:46 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2011.03.17 12:02:49 | 000,015,873 | ---- | C] () -- C:\WINDOWS\System32\Inetde.dll
[2011.01.26 09:55:52 | 000,438,272 | ---- | C] () -- C:\WINDOWS\System32\PaintX.dll
[2010.11.02 10:55:28 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2010.07.28 09:36:28 | 000,002,676 | ---- | C] () -- C:\WINDOWS\Sandboxie.ini
[2010.07.27 09:03:20 | 010,829,656 | ---- | C] () -- C:\WINDOWS\System32\LogiDPP.dll
[2010.07.27 09:03:20 | 000,102,744 | ---- | C] () -- C:\WINDOWS\System32\LogiDPPApp.exe
[2010.07.27 09:03:18 | 000,290,648 | ---- | C] () -- C:\WINDOWS\System32\DevManagerCore.dll
[2010.07.27 08:56:04 | 000,090,411 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2010.07.16 10:15:27 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Settings.ini
[2010.07.15 13:28:38 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.12 07:22:08 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.07.02 10:17:14 | 000,045,920 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010.06.24 13:29:13 | 000,000,529 | ---- | C] () -- C:\WINDOWS\wcx_ftp.ini
[2010.06.22 08:59:51 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\winscp.rnd
[2010.06.21 10:15:39 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.06.17 14:45:38 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\AsIO.dll
[2010.06.17 14:45:38 | 000,011,448 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsUpIO.sys
[2010.06.17 14:45:38 | 000,011,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys
[2010.06.17 12:50:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.06.17 12:40:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.06.17 12:39:09 | 000,246,312 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.17 12:29:36 | 000,001,428 | R--- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2010.06.17 12:29:15 | 000,000,804 | R--- | C] () -- C:\WINDOWS\System32\AsusSetup.ini
[2010.06.17 12:29:15 | 000,000,396 | R--- | C] () -- C:\WINDOWS\System32\raidmgmt.ini
[2010.06.17 12:29:06 | 000,032,861 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2010.06.17 12:29:05 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2010.06.17 12:28:52 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2010.06.17 11:56:47 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.06.17 11:53:26 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.04.03 21:55:32 | 002,292,678 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2008.05.26 21:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 21:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 21:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.05.26 20:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008.05.26 20:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007.06.28 17:43:00 | 001,018,772 | ---- | C] () -- C:\WINDOWS\System32\nvucode.bin
[2007.06.28 17:43:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.11.10 14:08:50 | 000,024,064 | ---- | C] () -- C:\WINDOWS\System32\drivers\ATITool.sys
[2004.08.04 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.08.04 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 13:00:00 | 000,517,154 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 13:00:00 | 000,472,894 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 13:00:00 | 000,100,782 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 13:00:00 | 000,075,988 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 13:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[1999.08.11 23:00:00 | 001,708,032 | ---- | C] () -- C:\WINDOWS\System32\MSO97V.DLL
[1999.08.11 23:00:00 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1999.08.11 23:00:00 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\MSORFS.DLL
[1999.08.11 23:00:00 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
 
========== LOP Check ==========
 
[2011.12.15 10:13:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2011.11.29 09:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
[2010.06.30 13:12:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2011.12.15 13:49:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MFAData
[2011.06.20 11:38:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaInstallerCache
[2011.12.05 07:43:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp
[2010.07.01 13:39:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Thomson.ResearchSoft.Installers
[2010.07.26 13:30:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\aicon
[2011.08.19 09:46:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Amazon
[2011.09.20 17:02:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin
[2011.04.06 11:41:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Braid
[2010.07.12 11:56:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\clickEXE
[2011.09.16 11:43:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\CPUTempWatch
[2011.03.17 13:35:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Diercke Globus Online
[2012.01.11 13:15:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox
[2011.10.26 09:33:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\DVDVideoSoft
[2011.10.26 10:39:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010.07.01 13:58:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\EndNote
[2012.01.09 10:19:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Free Download Manager
[2010.06.24 13:28:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\GHISLER
[2010.10.29 09:17:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\HeidiSQL
[2010.09.01 13:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\jah
[2011.05.04 11:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\KeePass
[2010.07.09 09:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\MySQL
[2010.07.26 09:49:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Notepad++
[2010.07.06 09:09:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\OpenOffice.org
[2010.07.28 11:01:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Opera
[2011.08.02 09:25:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong
[2010.07.16 08:39:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Processing
[2011.12.08 10:31:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\QuickScan
[2011.03.01 13:53:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\STRATO
[2011.10.21 09:46:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Subversion
[2011.12.08 15:26:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\TeamViewer
[2010.06.21 11:57:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Thunderbird
[2011.12.08 15:10:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\uTorrent
[2011.11.21 11:42:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Windows Search
[2010.09.23 11:55:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Wireshark
[2011.06.23 15:08:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\WSCAD
[2011.08.05 08:18:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\yWorks
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.06.17 13:52:12 | 000,000,000 | ---D | M] -- C:\970e7e59fb56a0b62677151830acf282
[2011.01.07 13:00:21 | 000,000,000 | ---D | M] -- C:\backup
[2011.12.08 14:47:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.10.26 09:43:22 | 000,000,000 | ---D | M] -- C:\Downloads
[2012.01.09 15:20:46 | 000,000,000 | R--D | M] -- C:\Dropbox
[2011.08.22 15:12:58 | 000,000,000 | ---D | M] -- C:\Elcom
[2011.02.16 13:34:28 | 000,000,000 | ---D | M] -- C:\jahrbuch-fuer-brandenburgische-landesgeschichte
[2011.11.08 10:52:03 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2011.09.19 11:01:44 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2010.07.28 13:49:19 | 000,000,000 | ---D | M] -- C:\pcwIconExtractor-Icons
[2010.06.21 14:04:52 | 000,000,000 | ---D | M] -- C:\php_video_kurs_old
[2012.01.09 14:54:39 | 000,000,000 | R--D | M] -- C:\Programme
[2011.12.23 08:43:18 | 000,000,000 | ---D | M] -- C:\QUARANTINE
[2010.06.21 10:54:42 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2010.07.28 09:38:02 | 000,000,000 | R--D | M] -- C:\Sandbox
[2010.06.17 11:59:17 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012.01.10 10:55:03 | 000,000,000 | ---D | M] -- C:\TEMP
[2012.01.09 10:28:47 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2011.03.29 13:38:16 | 000,000,000 | ---D | M] -- C:\xampp
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: AFD.SYS  >
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\dllcache\afd.sys
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\drivers\afd.sys
[2008.04.13 23:49:24 | 000,138,112 | ---- | M] (Microsoft Corporation) MD5=322D0E36693D6E24A2398BEE62A268CD -- C:\WINDOWS\$NtUninstallKB951748$\afd.sys
[2011.02.16 14:22:48 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=355556D9E580915118CD7EF736653A89 -- C:\WINDOWS\$NtUninstallKB2592799$\afd.sys
[2008.10.16 16:07:58 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=38D7B715504DA4741DF35E3594FE2099 -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys
[2008.08.14 11:34:26 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=4D43E74F2A1239D53929B82600F1971C -- C:\WINDOWS\$hf_mig$\KB956803\SP3QFE\afd.sys
[2006.02.28 13:00:00 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=5AC495F4CB807B2B98AD2AD591E6D92E -- C:\Programme\pebuilder3110a\BartPE\i386\system32\drivers\afd.sys
[2008.10.16 15:43:01 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7618D5218F2A614672EC61A80D854A37 -- C:\WINDOWS\$NtUninstallKB2503665$\afd.sys
[2008.08.14 11:04:36 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7E775010EF291DA96AD17CA4B17137D7 -- C:\WINDOWS\$NtUninstallKB2509553$\afd.sys
[2011.02.16 14:25:05 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=8D499B1276012EB907E7A9E0F4D8FDA4 -- C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys
[2008.06.20 12:48:03 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=D6EE6014241D034E63C49A50CB2B442A -- C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\afd.sys
[2008.06.20 12:40:08 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=E3049B90FE06F3F740B7CFDA44995E2C -- C:\WINDOWS\$NtUninstallKB956803$\afd.sys
[2011.08.17 14:41:46 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=F6B7B1ECD7B41736BDB6FF4B092BCB79 -- C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: IPSEC.SYS  >
[2008.04.13 23:49:44 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\dllcache\ipsec.sys
[2008.04.13 23:49:44 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\drivers\ipsec.sys
[2006.02.28 13:00:00 | 000,074,752 | ---- | M] (Microsoft Corporation) MD5=64537AA5C003A6AFEEE1DF819062D0D1 -- C:\Programme\pebuilder3110a\BartPE\i386\system32\drivers\ipsec.sys
 
< MD5 for: REGEDIT.EXE  >
[2005.03.24 17:47:00 | 000,154,624 | ---- | M] (Microsoft Corporation) MD5=7393BDCE563435702471334473308A51 -- C:\Programme\pebuilder3110a\i386\regedit.exe
[2006.02.28 13:00:00 | 000,153,600 | R--- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\Programme\pebuilder3110a\BartPE\i386\system32\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\Programme\pebuilder3110a\BartPE\i386\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2011.12.24 17:50:20 | 000,182,856 | ---- | M] () MD5=B382935AB01B27D0E14F267DBF288896 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2011.11.23 15:40:13 | 001,859,712 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-01-06 10:41:12

< End of report >
--- --- ---
OTL Logfile:
Code:
OTL Extras logfile created on: 11.01.2012 13:16:55 - Run 1
OTL by OldTimer - Version 3.2.31.0    Folder = F:\#Daten\ANTIVIRUS
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 67,65% Memory free
3,85 Gb Paging File | 3,43 Gb Available in Paging File | 89,27% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 30,53 Gb Free Space | 31,27% Space Free | Partition Type: NTFS
Drive D: | 135,23 Gb Total Space | 32,51 Gb Free Space | 24,04% Space Free | Partition Type: NTFS
Drive F: | 14,91 Gb Total Space | 10,07 Gb Free Space | 67,56% Space Free | Partition Type: FAT32
Drive N: | 97,65 Gb Total Space | 30,53 Gb Free Space | 31,27% Space Free | Partition Type: *NT5CSC
 
Computer Name: EPUBSHK03 | User Name: wehserro | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\XAMPP\xampp\apache\bin\httpd.exe" = C:\XAMPP\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server
"C:\XAMPP\xampp\mysql\bin\mysqld.exe" = C:\XAMPP\xampp\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server
"C:\XAMPP\mysql\bin\mysqld.exe" = C:\XAMPP\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server -- ()
"C:\XAMPP\apache\bin\httpd.exe" = C:\XAMPP\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- ()
"C:\Programme\totalcmd\TOTALCMD.EXE" = C:\Programme\totalcmd\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit -- (Ghisler Software GmbH)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Temp\RarSFX0\Tvants.exe" = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Temp\RarSFX0\Tvants.exe:*:Enabled:TVAnts
"C:\XAMPP\MercuryMail\mercury.exe" = C:\XAMPP\MercuryMail\mercury.exe:*:Enabled:Mercury/32 Core Processing Module v4.72 -- (David Harris)
"C:\Programme\Google\Google Earth\plugin\geplugin.exe" = C:\Programme\Google\Google Earth\plugin\geplugin.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\STRATO AG\STRATO HiDrive\openVPN\openvpn.exe" = C:\Programme\STRATO AG\STRATO HiDrive\openVPN\openvpn.exe:*:Enabled:openvpn
"C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\cygwin\bin\perl.exe" = C:\cygwin\bin\perl.exe:*:Enabled:perl
"C:\Elcom\5.1\Apps\rteng9.exe" = C:\Elcom\5.1\Apps\rteng9.exe:*:Enabled:Adaptive Server Anywhere Network Server
"C:\Elcom\Magnet\Apps\rteng9.exe" = C:\Elcom\Magnet\Apps\rteng9.exe:*:Enabled:Adaptive Server Anywhere Network Server
"C:\Programme\yWorks\yEd\yEd.exe" = C:\Programme\yWorks\yEd\yEd.exe:*:Disabled:yEd Graph Editor -- (yWorks GmbH)
"C:\Programme\Bitcoin\bitcoin.exe" = C:\Programme\Bitcoin\bitcoin.exe:*:Enabled:bitcoin -- ()
"D:\ctNotWin2011\WinBuilder.exe" = D:\ctNotWin2011\WinBuilder.exe:*:Enabled:WinBuilder.exe
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe" = C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
"D:\privat\urlaubsfotos\left4dead2.exe" = D:\privat\urlaubsfotos\left4dead2.exe:*:Enabled:left4dead2
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"C:\Programme\Microsoft Office\Office14\GROOVE.EXE" = C:\Programme\Microsoft Office\Office14\GROOVE.EXE:*:Enabled:Microsoft SharePoint Workspace -- (Microsoft Corporation)
"C:\Programme\WinHTTrack\WinHTTrack.exe" = C:\Programme\WinHTTrack\WinHTTrack.exe:*:Enabled:WinHTTrack Website Copier, Web Site mirroring for professional and private purposes -- (HTTrack)
"C:\Programme\TeamViewer\Version7\TeamViewer.exe" = C:\Programme\TeamViewer\Version7\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe" = C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
"C:\Programme\AVG\AVG2012\avgmfapx.exe" = C:\Programme\AVG\AVG2012\avgmfapx.exe:*:Enabled:AVG-Installationsprogramm
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\McAfee\Common Framework\FrameworkService.exe" = C:\Programme\McAfee\Common Framework\FrameworkService.exe:*:Enabled:McAfee Framework Service -- (McAfee, Inc.)
"C:\XAMPP\apache\bin\httpd.exe" = C:\XAMPP\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\XAMPP\mysql\bin\mysqld.exe" = C:\XAMPP\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server -- ()
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\Bitcoin\bitcoin.exe" = C:\Programme\Bitcoin\bitcoin.exe:*:Enabled:bitcoin -- ()
"C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}" = HP USB Disk Storage Format Tool
"{147BCE03-C0F1-4C9F-8157-6A89B6D2D973}" = McAfee VirusScan Enterprise
"{1A6A6531-08FC-47AD-BAC4-C41497E71031}" = Nero 7 Essentials
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java(TM) 6 Update 29
"{27CC6AB1-E72B-4179-AF1A-EAE507EBAF51}_is1" = ConvertHelper 2.2
"{32A3A4F4-B792-11D6-A78A-00B0D0160250}" = Java(TM) SE Development Kit 6 Update 25
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{5AE3D9F1-9E9E-4015-8787-E22705AA32C5}" = msxml4
"{650E4124-292E-4638-944C-99A880C9D0F0}" = Oracle VM VirtualBox 4.1.6
"{6A3F9D74-BB80-4451-8CA1-4B3A857F1359}" = Apple Application Support
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6F69C969-2942-4E7B-B594-75B37664B8BA}" = NVIDIA System Update
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73EC658D-A1C6-40CA-8E86-E05821BAACE7}" = Java DB 10.6.2.1
"{74E2CD0C-D4A2-11D3-95A6-0000E86CFDE5}" = SSH Secure Shell
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{86B3F2D6-AC2B-4E88-8AE1-F2F77F781B0C}" = EndNote X3
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90140000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 14
"{90140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{90140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUS_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUS_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUS_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUS_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUS_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUS_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUS_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91B174AD-82E4-430C-B0EB-AF51D1C3BD78}" = MySQL Workbench 5.1 OSS
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A106D3BA-CF1F-4E13-8161-4ACA153E2F96}" = Graphviz
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AA951B10-7089-4D60-B288-516E641F48E6}" = McAfee Agent
"{AC76BA86-1033-F400-7760-000000000003}" = Adobe Acrobat 8 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.7 - Deutsch
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.94
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.4.28
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B395BC1D-CC06-425E-9049-4CD985EFF004}" = LightScribe  1.8.15.1
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1677F5F-20E2-4176-8F5C-B5DB6DD3669D}" = WSCAD55Demo
"{C9E14402-3631-4182-B377-6B0DFB1C0339}" = QuickTime
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"3309-7404-0599-8908" = yEd Graph Editor 3.7.0.2
"7-Zip" = 7-Zip 9.20
"8973-4025-0853-7287-3" = DbVisualizer 7.1.5
"AccessDiver v4.281_is1" = AccessDiver v4.281
"Adobe Acrobat 8 Professional - English, Français, Deutsch" = Adobe Acrobat 8.1.6 Professional
"Adobe Acrobat 8 Professional - English, Français, Deutsch_816" = Adobe Acrobat 8.1.6 - CPSID_49167
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"ATITool" = ATITool Overclocking Utility
"B991B020-2968-11D8-AF23-444553540000_is1" = FreeMind
"Biet-O-Matic v2.14.8" = Biet-O-Matic v2.14.8
"CCleaner" = CCleaner
"conduitEngine" = Conduit Engine
"CPUID CPU-Z_is1" = CPUID CPU-Z 1.58
"CPUID HWMonitor_is1" = CPUID HWMonitor 1.18
"ESET Online Scanner" = ESET Online Scanner v3
"Free Download Manager_is1" = Free Download Manager 3.0
"Free YouTube Download_is1" = Free YouTube Download version 3.0.16.923
"GetYourVid" = GetYourVid
"ie8" = Windows Internet Explorer 8
"InstallShield_{6F69C969-2942-4E7B-B594-75B37664B8BA}" = NVIDIA System Update
"IrfanView" = IrfanView (remove only)
"IsoBuster_is1" = IsoBuster 2.8.5
"KeePass Password Safe_is1" = KeePass Password Safe 1.19b
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.0.1800
"MediaCoder" = MediaCoder 0.6.0
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 7.0.1 (x86 de)" = Mozilla Firefox 7.0.1 (x86 de)
"Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"nLite_is1" = nLite 1.4.9.1
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"OpenLibraries" = OpenLibraries
"Opera 11.60.1185" = Opera 11.60
"PE Builder_is1" = PE Builder 3.1.10a
"PowerISO" = PowerISO
"PPTView97" = Microsoft PowerPoint Viewer 97
"PSPad editor_is1" = PSPad editor
"Python 2.3.4" = Python 2.3.4
"ResearchSoft Direct Export Helper" = ResearchSoft Direct Export Helper
"Sandboxie" = Sandboxie 3.46
"Ssrc SVG Plugin v1.9.2.8" = Ssrc SVG Plugin v1.9.2.8
"TeamViewer 7" = TeamViewer 7
"Totalcmd" = Total Commander (Remove or Repair)
"Universal Extractor_is1" = Universal Extractor 1.6.1
"uTorrentBar Toolbar" = uTorrentBar Toolbar
"VLC media player" = VLC media player 1.1.4
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinHTTrack Website Copier_is1" = WinHTTrack Website Copier 3.44-1
"WinMerge_is1" = WinMerge 2.12.4
"winscp3_is1" = WinSCP 4.3.6
"Wireshark" = Wireshark 1.4.0
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xampp" = XAMPP 1.7.4
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Bitcoin" = Bitcoin
"Dropbox" = Dropbox
"Google Chrome" = Google Chrome
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.01.2012 04:17:26 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet.    Details hierzu erhalten
 Sie in Ereignis 5019 oder 5051.  Der McShield-Service wird in 5 Sekunden neu gestartet.
 
Error - 10.01.2012 05:24:25 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 5051
Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
 brauchte länger als 90000 ms, um eine Anfrage auszuführen.    Der Vorgang wird beendet.
Thread-ID:
 3132 (0xc3c)    Thread-Adresse: 0x7C91E514    Thread-Nachricht:      Build VSCORE.14.1.0.593
 / 5400.1158  Object being scanned = \Device\HarddiskVolume1\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Thunderbird\Profiles\ur4a95cy.default\ImapMail\mailbox.cms.hu-berlin.de\INBOX

 by C:\Programme\Mozilla Thunderbird\thunderbird.exe  4(0)(0)  4(0)(0)  7200(0)(0) 
7595(0)(0)  7005(0)(0)  7004(0)(0)  5006(0)(0)  5004(0)(0) 
 
Error - 10.01.2012 05:24:25 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet.    Details hierzu erhalten
 Sie in Ereignis 5019 oder 5051.  Der McShield-Service wird in 10 Sekunden neu gestartet.
 
Error - 10.01.2012 05:37:36 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 5051
Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
 brauchte länger als 90000 ms, um eine Anfrage auszuführen.    Der Vorgang wird beendet.
Thread-ID:
 2160 (0x870)    Thread-Adresse: 0x7C91E514    Thread-Nachricht:      Build VSCORE.14.1.0.593
 / 5400.1158  Object being scanned = \Device\HarddiskVolume1\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Thunderbird\Profiles\ur4a95cy.default\ImapMail\mailbox.cms.hu-berlin.de\INBOX

 by C:\Programme\Mozilla Thunderbird\thunderbird.exe  4(0)(0)  4(0)(0)  7200(0)(0) 
7595(0)(0)  7005(0)(0)  7004(0)(0)  5006(0)(0)  5004(0)(0) 
 
Error - 10.01.2012 05:37:37 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet.    Details hierzu erhalten
 Sie in Ereignis 5019 oder 5051.  Der McShield-Service wird in 15 Sekunden neu gestartet.
 
Error - 10.01.2012 06:29:49 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 5051
Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
 brauchte länger als 90000 ms, um eine Anfrage auszuführen.    Der Vorgang wird beendet.
Thread-ID:
 920 (0x398)    Thread-Adresse: 0x7C91E514    Thread-Nachricht:      Build VSCORE.14.1.0.593
 / 5400.1158  Object being scanned = \Device\HarddiskVolume1\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Thunderbird\Profiles\ur4a95cy.default\ImapMail\mailbox.cms.hu-berlin.de\INBOX

 by C:\Programme\Mozilla Thunderbird\thunderbird.exe  4(16)(0)  4(16)(0)  7200(16)(0)

 7595(16)(0)  7005(0)(0)  7004(0)(0)  5006(0)(0)  5004(0)(0) 
 
Error - 10.01.2012 06:29:51 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet.    Details hierzu erhalten
 Sie in Ereignis 5019 oder 5051.  Der McShield-Service wird in 20 Sekunden neu gestartet.
 
Error - 11.01.2012 08:10:47 | Computer Name = EPUBSHK03 | Source = Userenv | ID = 1054
Description = Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt
 werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung
 hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
 
Error - 11.01.2012 08:10:48 | Computer Name = EPUBSHK03 | Source = AutoEnrollment | ID = 15
Description = Die automatische Zertifikatregistrierung für "lokaler Computer" konnte
 keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne
 ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden.  Die Registrierung
 wird nicht durchgeführt.
 
Error - 11.01.2012 08:11:17 | Computer Name = EPUBSHK03 | Source = Userenv | ID = 1054
Description = Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt
 werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung
 hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
 
[ System Events ]
Error - 09.01.2012 10:18:08 | Computer Name = EPUBSHK03 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 09.01.2012 10:20:35 | Computer Name = EPUBSHK03 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 10.01.2012 04:17:26 | Computer Name = EPUBSHK03 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 10.01.2012 05:24:26 | Computer Name = EPUBSHK03 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
 2 Mal passiert.
 
Error - 10.01.2012 05:37:37 | Computer Name = EPUBSHK03 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
 3 Mal passiert.
 
Error - 10.01.2012 06:29:51 | Computer Name = EPUBSHK03 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
 4 Mal passiert.
 
Error - 11.01.2012 08:10:32 | Computer Name = EPUBSHK03 | Source = SCardSvr | ID = 602
Description = Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen:
 Das System kann den angegebenen Pfad nicht finden.
 
Error - 11.01.2012 08:10:47 | Computer Name = EPUBSHK03 | Source = NETLOGON | ID = 5719
Description = Es steht kein Domänencontroller für die Domäne CMS aus folgendem Grund
 zur  Verfügung:  %%1311.    Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden
 ist, und  versuchen Sie es erneut. Wenden Sie sich an den Domänenadministrator, wenn
das
 Problem weiterhin besteht.
 
Error - 11.01.2012 08:10:49 | Computer Name = EPUBSHK03 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 11.01.2012 08:10:49 | Computer Name = EPUBSHK03 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
 
< End of report >
--- --- ---

wesselow 12.01.2012 07:24
und GMER:

GMER Logfile:
Code:
GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2012-01-12 07:18:13
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\0000007e SAMSUNG_HD250HJ rev.FH100-06
Running: bipkgrgq.exe; Driver: C:\DOKUME~1\wehserro.CMS\LOKALE~1\Temp\kwlyrpog.sys


---- System - GMER 1.0.15 ----

Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwCreateKey [0xB7E8F290]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwDeleteKey [0xB7E8F2A4]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwDeleteValueKey [0xB7E8F2D0]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwMapViewOfSection [0xB7E8F326]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwOpenKey [0xB7E8F27C]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwOpenProcess [0xB7E8F254]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwOpenThread [0xB7E8F268]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwRenameKey [0xB7E8F2BA]
Code            B8702C9C                                                                                          ZwRequestPort
Code            B8702D3C                                                                                          ZwRequestWaitReplyPort
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwSetSecurityObject [0xB7E8F2FC]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwSetValueKey [0xB7E8F2E6]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwTerminateProcess [0xB7E8F350]
Code            B8702BFC                                                                                          ZwTraceEvent
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwUnmapViewOfSection [0xB7E8F33C]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    ZwYieldExecution [0xB7E8F310]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    NtMapViewOfSection
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    NtOpenProcess
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    NtOpenThread
Code            B8702C9B                                                                                          NtRequestPort
Code            B8702D3B                                                                                          NtRequestWaitReplyPort
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                    NtSetSecurityObject
Code            B8702BFB                                                                                          NtTraceEvent

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwYieldExecution                                                                    80504B08 7 Bytes  JMP B7E8F314 mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
.text          ntkrnlpa.exe!NtTraceEvent                                                                        80535156 5 Bytes  JMP B8702C00
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                          section is writeable [0xB6E0B3A0, 0x8A1A15, 0xE8000020]
init            C:\WINDOWS\system32\drivers\Senfilt.sys                                                          entry point in "init" section [0xB44C0A00]
.text          win32k.sys!EngAcquireSemaphore + 20F0                                                            BF808304 5 Bytes  JMP B8702480
.text          win32k.sys!EngFreeUserMem + 5BD7                                                                  BF80EE90 5 Bytes  JMP B87023E0
.text          win32k.sys!EngSetLastError + 79AA                                                                BF8242D6 5 Bytes  JMP B87025C0
.text          win32k.sys!FONTOBJ_pxoGetXform + C2CF                                                            BF85198B 5 Bytes  JMP B8702A20
.text          win32k.sys!XLATEOBJ_iXlate + 2EDD                                                                BF85DE70 5 Bytes  JMP B8702520
.text          win32k.sys!EngCreatePalette + 8A                                                                  BF85F814 5 Bytes  JMP B87028E0
.text          win32k.sys!EngCopyBits + 1409                                                                    BF89A1BD 5 Bytes  JMP B8702700
.text          win32k.sys!EngCopyBits + 4DEE                                                                    BF89DBA2 5 Bytes  JMP B8702660
.text          win32k.sys!EngEraseSurface + A9F7                                                                BF8C2130 5 Bytes  JMP B87027A0
.text          win32k.sys!EngDeleteSemaphore + 3B40                                                              BF8EC299 5 Bytes  JMP B8702980
.text          win32k.sys!EngCreateClip + 19DF                                                                  BF91348A 5 Bytes  JMP B8702AC0
.text          win32k.sys!EngCreateClip + 1F6F                                                                  BF913A1A 5 Bytes  JMP B8702B60
.text          win32k.sys!EngCreateClip + 25B5                                                                  BF914060 5 Bytes  JMP B8702840

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ntdll.dll!NtCreateFile                    7C91D0AE 5 Bytes  JMP 00EC0FEF
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ntdll.dll!NtCreateProcess                  7C91D14E 5 Bytes  JMP 00EC0FCA
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ntdll.dll!NtProtectVirtualMemory          7C91D6EE 5 Bytes  JMP 00EC0000
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateFileA                  7C801A28 5 Bytes  JMP 00EB0FEF
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!VirtualProtectEx              7C801A61 5 Bytes  JMP 00EB006E
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!VirtualProtect                7C801AD4 5 Bytes  JMP 00EB0F79
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!LoadLibraryExW                7C801AF5 5 Bytes  JMP 00EB0F94
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!LoadLibraryExA                7C801D53 5 Bytes  JMP 00EB0047
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!LoadLibraryA                  7C801D7B 5 Bytes  JMP 00EB0025
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!GetStartupInfoW              7C801E54 5 Bytes  JMP 00EB009C
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!GetStartupInfoA              7C801EF2 5 Bytes  JMP 00EB0F54
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateProcessW                7C802336 5 Bytes  JMP 00EB00D2
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateProcessA                7C80236B 5 Bytes  JMP 00EB00AD
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!GetProcAddress                7C80AE40 5 Bytes  JMP 00EB0F1E
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!LoadLibraryW                  7C80AEEB 5 Bytes  JMP 00EB0036
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateFileW                  7C810800 5 Bytes  JMP 00EB0FDE
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreatePipe                    7C81D83F 5 Bytes  JMP 00EB007F
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateNamedPipeW              7C82F0DD 5 Bytes  JMP 00EB0FB9
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateNamedPipeA              7C860CDC 5 Bytes  JMP 00EB0014
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!WinExec                      7C86250D 5 Bytes  JMP 00EB0F39
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegOpenKeyExW                77DA6AAF 5 Bytes  JMP 00EA0FD4
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyExW              77DA776C 5 Bytes  JMP 00EA0F72
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegOpenKeyExA                77DA7852 5 Bytes  JMP 00EA0025
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegOpenKeyW                  77DA7946 5 Bytes  JMP 00EA0014
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyExA              77DAE9F4 5 Bytes  JMP 00EA0F8D
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegOpenKeyA                  77DAEFC8 5 Bytes  JMP 00EA0FEF
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyW                77DCBA55 2 Bytes  JMP 00EA0FA8
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyW + 3            77DCBA58 2 Bytes  [0D, 89]
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyA                77DCBCF3 5 Bytes  JMP 00EA0FC3
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_wsystem                        77BF931E 5 Bytes  JMP 00E90031
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!system                          77BF93C7 5 Bytes  JMP 00E90FA6
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_creat                          77BFD40F 5 Bytes  JMP 00E9000C
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_open                          77BFF566 5 Bytes  JMP 00E90FEF
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_wcreat                        77BFFC9B 5 Bytes  JMP 00E90FB7
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_wopen                          77C00055 5 Bytes  JMP 00E90FDE
.text          C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] WS2_32.dll!socket                          71A14211 5 Bytes  JMP 00E80FEF
.text          C:\WINDOWS\System32\svchost.exe[760] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 02A80FE5
.text          C:\WINDOWS\System32\svchost.exe[760] ntdll.dll!NtCreateProcess                                    7C91D14E 5 Bytes  JMP 02A8001B
.text          C:\WINDOWS\System32\svchost.exe[760] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 02A80000
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 02A70000
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!VirtualProtectEx                                7C801A61 5 Bytes  JMP 02A70051
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!VirtualProtect                                  7C801AD4 5 Bytes  JMP 02A70F5C
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!LoadLibraryExW                                  7C801AF5 5 Bytes  JMP 02A70F79
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!LoadLibraryExA                                  7C801D53 5 Bytes  JMP 02A70F8A
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!LoadLibraryA                                    7C801D7B 5 Bytes  JMP 02A7001B
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 02A7006E
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 02A70F26
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateProcessW                                  7C802336 5 Bytes  JMP 02A70EF7
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateProcessA                                  7C80236B 5 Bytes  JMP 02A70090
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!GetProcAddress                                  7C80AE40 5 Bytes  JMP 02A70EDC
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!LoadLibraryW                                    7C80AEEB 5 Bytes  JMP 02A7002C
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 02A70FDB
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreatePipe                                      7C81D83F 5 Bytes  JMP 02A70F37
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateNamedPipeW                                7C82F0DD 5 Bytes  JMP 02A70FAF
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateNamedPipeA                                7C860CDC 5 Bytes  JMP 02A70FCA
.text          C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 02A7007F
.text          C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 02A6001B
.text          C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 02A60073
.text          C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 02A60FCA
.text          C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 02A6000A
.text          C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 02A60062
.text          C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 02A60FE5
.text          C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 5 Bytes  JMP 02A60047
.text          C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 02A60036
.text          C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_wsystem                                          77BF931E 5 Bytes  JMP 02770FA1
.text          C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!system                                            77BF93C7 5 Bytes  JMP 02770036
.text          C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_creat                                            77BFD40F 5 Bytes  JMP 02770FC6
.text          C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_open                                            77BFF566 5 Bytes  JMP 02770000
.text          C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 0277001B
.text          C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_wopen                                            77C00055 5 Bytes  JMP 02770FD7
.text          C:\WINDOWS\System32\svchost.exe[760] WS2_32.dll!socket                                            71A14211 5 Bytes  JMP 02760FEF
.text          C:\WINDOWS\System32\svchost.exe[760] WININET.dll!InternetOpenA                                    408DD6A8 5 Bytes  JMP 02750000
.text          C:\WINDOWS\System32\svchost.exe[760] WININET.dll!InternetOpenW                                    408DDB21 5 Bytes  JMP 02750FE5
.text          C:\WINDOWS\System32\svchost.exe[760] WININET.dll!InternetOpenUrlA                                408DF3BC 5 Bytes  JMP 02750FD4
.text          C:\WINDOWS\System32\svchost.exe[760] WININET.dll!InternetOpenUrlW                                40926DFF 5 Bytes  JMP 02750025
.text          C:\WINDOWS\system32\svchost.exe[976] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 00CB0FEF
.text          C:\WINDOWS\system32\svchost.exe[976] ntdll.dll!NtCreateProcess                                    7C91D14E 5 Bytes  JMP 00CB002F
.text          C:\WINDOWS\system32\svchost.exe[976] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 00CB0014
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 00CA0000
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!VirtualProtectEx                                7C801A61 5 Bytes  JMP 00CA0F72
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!VirtualProtect                                  7C801AD4 5 Bytes  JMP 00CA0F83
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!LoadLibraryExW                                  7C801AF5 5 Bytes  JMP 00CA005D
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!LoadLibraryExA                                  7C801D53 5 Bytes  JMP 00CA0F94
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!LoadLibraryA                                    7C801D7B 5 Bytes  JMP 00CA002F
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 00CA0F41
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 00CA0093
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateProcessW                                  7C802336 5 Bytes  JMP 00CA0EFA
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateProcessA                                  7C80236B 5 Bytes  JMP 00CA0F0B
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!GetProcAddress                                  7C80AE40 5 Bytes  JMP 00CA00AE
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!LoadLibraryW                                    7C80AEEB 5 Bytes  JMP 00CA0040
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 00CA0FE5
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreatePipe                                      7C81D83F 5 Bytes  JMP 00CA0082
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateNamedPipeW                                7C82F0DD 5 Bytes  JMP 00CA0FC3
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateNamedPipeA                                7C860CDC 5 Bytes  JMP 00CA0FD4
.text          C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 00CA0F30
.text          C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 00C9000A
.text          C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 00C90040
.text          C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 00C90FB9
.text          C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 00C90FD4
.text          C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 00C90F83
.text          C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 00C90FE5
.text          C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 5 Bytes  JMP 00C90025
.text          C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 00C90F9E
.text          C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_wsystem                                          77BF931E 5 Bytes  JMP 00C80F9C
.text          C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!system                                            77BF93C7 5 Bytes  JMP 00C80FAD
.text          C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_creat                                            77BFD40F 5 Bytes  JMP 00C8001D
.text          C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_open                                            77BFF566 3 Bytes  JMP 00C80FEF
.text          C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_open + 4                                        77BFF56A 1 Byte  [89]
.text          C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 00C80FC8
.text          C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_wopen                                            77C00055 5 Bytes  JMP 00C8000C
.text          C:\WINDOWS\system32\svchost.exe[976] WS2_32.dll!socket                                            71A14211 5 Bytes  JMP 00C6000A
.text          C:\WINDOWS\system32\svchost.exe[1148] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 00A60FEF
.text          C:\WINDOWS\system32\svchost.exe[1148] ntdll.dll!NtCreateProcess                                  7C91D14E 5 Bytes  JMP 00A60000
.text          C:\WINDOWS\system32\svchost.exe[1148] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 00A60FCA
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 00A10000
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 00A10F5E
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 00A10F79
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 00A10053
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 00A10036
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 00A10FA5
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 00A1009A
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 00A10089
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 00A10F15
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 00A10F26
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 00A10F04
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 00A10F94
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 00A10FE5
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreatePipe                                    7C81D83F 5 Bytes  JMP 00A10078
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 00A10011
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 00A10FCA
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 00A10F41
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 00A00000
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 00A00F72
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 00A00FAF
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 00A00FCA
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 00A00F83
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 00A00FE5
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 2 Bytes  JMP 00A00F94
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW + 3                              77DCBA58 2 Bytes  [C3, 88]
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 00A0001B
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 009F0FA6
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 009F0FC1
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 009F0FD2
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_open                                            77BFF566 5 Bytes  JMP 009F0FE3
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 009F0027
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 009F000C
.text          C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 009E0FE5
.text          C:\WINDOWS\system32\services.exe[1520] ntdll.dll!NtCreateFile                                    7C91D0AE 5 Bytes  JMP 03110000
.text          C:\WINDOWS\system32\services.exe[1520] ntdll.dll!NtCreateProcess                                  7C91D14E 5 Bytes  JMP 0311002C
.text          C:\WINDOWS\system32\services.exe[1520] ntdll.dll!NtProtectVirtualMemory                          7C91D6EE 5 Bytes  JMP 0311001B
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateFileA                                  7C801A28 5 Bytes  JMP 0310000A
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 03100071
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 03100F7C
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 03100054
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 03100F97
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 03100FCD
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!GetStartupInfoW                              7C801E54 5 Bytes  JMP 03100F33
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!GetStartupInfoA                              7C801EF2 5 Bytes  JMP 03100F44
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 031000BB
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 031000AA
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 031000CC
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 03100FA8
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateFileW                                  7C810800 5 Bytes  JMP 03100FEF
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreatePipe                                    7C81D83F 5 Bytes  JMP 03100F61
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 03100FDE
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 03100025
.text          C:\WINDOWS\system32\services.exe[1520] kernel32.dll!WinExec                                      7C86250D 5 Bytes  JMP 03100F22
.text          C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegOpenKeyExW                                77DA6AAF 5 Bytes  JMP 030F002C
.text          C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegCreateKeyExW                              77DA776C 5 Bytes  JMP 030F0FC0
.text          C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegOpenKeyExA                                77DA7852 5 Bytes  JMP 030F0011
.text          C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegOpenKeyW                                  77DA7946 5 Bytes  JMP 030F0FDB
.text          C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegCreateKeyExA                              77DAE9F4 5 Bytes  JMP 030F0073
.text          C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegOpenKeyA                                  77DAEFC8 5 Bytes  JMP 030F0000
.text          C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegCreateKeyW                                77DCBA55 5 Bytes  JMP 030F0062
.text          C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegCreateKeyA                                77DCBCF3 5 Bytes  JMP 030F0047
.text          C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 030E0064
.text          C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 030E0FD9
.text          C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 030E002E
.text          C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_open                                          77BFF566 5 Bytes  JMP 030E000C
.text          C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_wcreat                                        77BFFC9B 5 Bytes  JMP 030E0049
.text          C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 030E001D
.text          C:\WINDOWS\system32\services.exe[1520] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00FF0000
.text          C:\WINDOWS\system32\lsass.exe[1532] ntdll.dll!NtCreateFile                                        7C91D0AE 5 Bytes  JMP 00FD0FEF
.text          C:\WINDOWS\system32\lsass.exe[1532] ntdll.dll!NtCreateProcess                                    7C91D14E 5 Bytes  JMP 00FD000A
.text          C:\WINDOWS\system32\lsass.exe[1532] ntdll.dll!NtProtectVirtualMemory                              7C91D6EE 5 Bytes  JMP 00FD0FD4
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateFileA                                      7C801A28 5 Bytes  JMP 00D50FE5
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!VirtualProtectEx                                7C801A61 5 Bytes  JMP 00D50F82
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!VirtualProtect                                  7C801AD4 5 Bytes  JMP 00D50077
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!LoadLibraryExW                                  7C801AF5 5 Bytes  JMP 00D50066
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!LoadLibraryExA                                  7C801D53 5 Bytes  JMP 00D50055
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!LoadLibraryA                                    7C801D7B 5 Bytes  JMP 00D50033
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!GetStartupInfoW                                  7C801E54 5 Bytes  JMP 00D50F54
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!GetStartupInfoA                                  7C801EF2 5 Bytes  JMP 00D50F71
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateProcessW                                  7C802336 5 Bytes  JMP 00D50F2F
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateProcessA                                  7C80236B 5 Bytes  JMP 00D500C8
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!GetProcAddress                                  7C80AE40 5 Bytes  JMP 00D50F14
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!LoadLibraryW                                    7C80AEEB 5 Bytes  JMP 00D50044
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateFileW                                      7C810800 5 Bytes  JMP 00D50000
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreatePipe                                      7C81D83F 5 Bytes  JMP 00D5009C
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateNamedPipeW                                7C82F0DD 5 Bytes  JMP 00D50022
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateNamedPipeA                                7C860CDC 5 Bytes  JMP 00D50011
.text          C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!WinExec                                          7C86250D 5 Bytes  JMP 00D500B7
.text          C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegOpenKeyExW                                    77DA6AAF 5 Bytes  JMP 00D4002F
.text          C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyExW                                  77DA776C 5 Bytes  JMP 00D40FA8
.text          C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegOpenKeyExA                                    77DA7852 5 Bytes  JMP 00D40FD4
.text          C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegOpenKeyW                                      77DA7946 5 Bytes  JMP 00D4000A
.text          C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyExA                                  77DAE9F4 5 Bytes  JMP 00D40065
.text          C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegOpenKeyA                                      77DAEFC8 5 Bytes  JMP 00D40FEF
.text          C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyW                                    77DCBA55 2 Bytes  JMP 00D40FB9
.text          C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyW + 3                                77DCBA58 2 Bytes  [F7, 88]
.text          C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyA                                    77DCBCF3 5 Bytes  JMP 00D40040
.text          C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_wsystem                                          77BF931E 5 Bytes  JMP 00D30F9E
.text          C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!system                                            77BF93C7 5 Bytes  JMP 00D30FB9
.text          C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_creat                                            77BFD40F 5 Bytes  JMP 00D30029
.text          C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_open                                              77BFF566 5 Bytes  JMP 00D3000C
.text          C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_wcreat                                            77BFFC9B 5 Bytes  JMP 00D30FD4
.text          C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_wopen                                            77C00055 5 Bytes  JMP 00D30FEF
.text          C:\WINDOWS\system32\lsass.exe[1532] WS2_32.dll!socket                                            71A14211 5 Bytes  JMP 00D20FE5
.text          C:\WINDOWS\system32\svchost.exe[1716] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 00B00000
.text          C:\WINDOWS\system32\svchost.exe[1716] ntdll.dll!NtCreateProcess                                  7C91D14E 5 Bytes  JMP 00B00011
.text          C:\WINDOWS\system32\svchost.exe[1716] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 00B00FDB
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 00AF0FEF
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 00AF0F8B
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 00AF0F9C
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 00AF0FB9
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 00AF0076
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 00AF004A
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 00AF00B8
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 00AF0F66
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 00AF0F33
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 00AF0F44
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 00AF0F22
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 00AF005B
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 00AF0014
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreatePipe                                    7C81D83F 5 Bytes  JMP 00AF0091
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 00AF002F
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 00AF0FDE
.text          C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 00AF0F55
.text          C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 00AE0025
.text          C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 00AE005B
.text          C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 00AE0FD4
.text          C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 00AE000A
.text          C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 00AE0040
.text          C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 00AE0FEF
.text          C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 2 Bytes  JMP 00AE0F94
.text          C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyW + 3                              77DCBA58 2 Bytes  [D1, 88]
.text          C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 00AE0FAF
.text          C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 00AD0F9E
.text          C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 00AD0033
.text          C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 00AD0FDE
.text          C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_open                                            77BFF566 5 Bytes  JMP 00AD0FEF
.text          C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 00AD0FC3
.text          C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 00AD0018
.text          C:\WINDOWS\system32\svchost.exe[1716] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00AC0FEF
.text          C:\WINDOWS\system32\svchost.exe[1776] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 00C40000
.text          C:\WINDOWS\system32\svchost.exe[1776] ntdll.dll!NtCreateProcess                                  7C91D14E 5 Bytes  JMP 00C40FDB
.text          C:\WINDOWS\system32\svchost.exe[1776] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 00C40011
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 00C30FEF
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 00C30F61
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 00C30F7C
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 00C30F8D
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 00C30F9E
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 00C30FB9
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 00C3008C
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 00C3007B
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 00C30F04
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 00C30F1F
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 00C300B8
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 00C30040
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 00C3000A
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreatePipe                                    7C81D83F 5 Bytes  JMP 00C30F50
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 00C30FCA
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 00C3001B
.text          C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 00C3009D
.text          C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 00C20FAF
.text          C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 00C20F5E
.text          C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 00C20FC0
.text          C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 00C20FDB
.text          C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 00C2001B
.text          C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 00C20000
.text          C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 2 Bytes  JMP 00C20F79
.text          C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyW + 3                              77DCBA58 2 Bytes  [E5, 88] {IN EAX, 0x88}
.text          C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 00C20F8A
.text          C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 00C10F9E
.text          C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 00C10029
.text          C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 00C10FCD
.text          C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_open                                            77BFF566 5 Bytes  JMP 00C10FEF
.text          C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 00C10018
.text          C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 00C10FDE
.text          C:\WINDOWS\system32\svchost.exe[1776] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00C00FE5
.text          C:\WINDOWS\system32\svchost.exe[1884] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 00C00FE5
.text          C:\WINDOWS\system32\svchost.exe[1884] ntdll.dll!NtCreateProcess                                  7C91D14E 5 Bytes  JMP 00C00000
.text          C:\WINDOWS\system32\svchost.exe[1884] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 00C00FD4
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 00BF0000
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 00BF0071
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 00BF0F7C
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 00BF0F8D
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 00BF0FA8
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 00BF0FCA
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 00BF0F4E
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 00BF0096
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 00BF0F22
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 00BF00B1
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 00BF0F11
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 00BF0FB9
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 00BF001B
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreatePipe                                    7C81D83F 5 Bytes  JMP 00BF0F6B
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 00BF0040
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 00BF0FE5
.text          C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 00BF0F3D
.text          C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 00940FAF
.text          C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 00940051
.text          C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 00940FCA
.text          C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 0094000A
.text          C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 00940F94
.text          C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 00940FEF
.text          C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 5 Bytes  JMP 0094002C
.text          C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 0094001B
.text          C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 0093004C
.text          C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 00930FB7
.text          C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 00930FE3
.text          C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_open                                            77BFF566 5 Bytes  JMP 00930000
.text          C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 00930FC8
.text          C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 0093001D
.text          C:\WINDOWS\system32\svchost.exe[1884] WININET.dll!InternetOpenA                                  408DD6A8 5 Bytes  JMP 00910000
.text          C:\WINDOWS\system32\svchost.exe[1884] WININET.dll!InternetOpenW                                  408DDB21 5 Bytes  JMP 00910FE5
.text          C:\WINDOWS\system32\svchost.exe[1884] WININET.dll!InternetOpenUrlA                                408DF3BC 5 Bytes  JMP 00910FCA
.text          C:\WINDOWS\system32\svchost.exe[1884] WININET.dll!InternetOpenUrlW                                40926DFF 5 Bytes  JMP 00910FB9
.text          C:\WINDOWS\system32\svchost.exe[1884] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00920FEF
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ntdll.dll!NtCreateFile            7C91D0AE 5 Bytes  JMP 01550FEF
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ntdll.dll!NtCreateProcess        7C91D14E 5 Bytes  JMP 01550FCA
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ntdll.dll!NtProtectVirtualMemory  7C91D6EE 5 Bytes  JMP 01550000
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateFileA          7C801A28 5 Bytes  JMP 01540000
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!VirtualProtectEx    7C801A61 5 Bytes  JMP 01540092
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!VirtualProtect      7C801AD4 5 Bytes  JMP 01540081
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!LoadLibraryExW      7C801AF5 5 Bytes  JMP 01540070
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!LoadLibraryExA      7C801D53 5 Bytes  JMP 0154005F
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!LoadLibraryA        7C801D7B 5 Bytes  JMP 01540FC7
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!GetStartupInfoW      7C801E54 5 Bytes  JMP 01540F6E
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!GetStartupInfoA      7C801EF2 5 Bytes  JMP 015400C0
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateProcessW      7C802336 5 Bytes  JMP 015400EC
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateProcessA      7C80236B 5 Bytes  JMP 015400DB
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!GetProcAddress      7C80AE40 5 Bytes  JMP 01540F42
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!LoadLibraryW        7C80AEEB 5 Bytes  JMP 0154004E
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateFileW          7C810800 5 Bytes  JMP 01540011
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreatePipe          7C81D83F 5 Bytes  JMP 015400A3
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateNamedPipeW    7C82F0DD 5 Bytes  JMP 0154003D
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateNamedPipeA    7C860CDC 5 Bytes  JMP 01540022
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!WinExec              7C86250D 5 Bytes  JMP 01540F5D
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegOpenKeyExW        77DA6AAF 5 Bytes  JMP 01520FD4
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegCreateKeyExW      77DA776C 5 Bytes  JMP 01520F8D
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegOpenKeyExA        77DA7852 5 Bytes  JMP 01520FEF
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegOpenKeyW          77DA7946 5 Bytes  JMP 0152001B
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegCreateKeyExA      77DAE9F4 5 Bytes  JMP 01520F9E
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegOpenKeyA          77DAEFC8 5 Bytes  JMP 01520000
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegCreateKeyW        77DCBA55 5 Bytes  JMP 0152004A
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegCreateKeyA        77DCBCF3 5 Bytes  JMP 01520FC3
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_wsystem              77BF931E 5 Bytes  JMP 0151002C
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!system                77BF93C7 5 Bytes  JMP 01510FAB
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_creat                77BFD40F 5 Bytes  JMP 01510FCD
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_open                  77BFF566 5 Bytes  JMP 01510FEF
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_wcreat                77BFFC9B 5 Bytes  JMP 01510FBC
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_wopen                77C00055 5 Bytes  JMP 01510FDE
.text          C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] WS2_32.dll!socket                71A14211 5 Bytes  JMP 01500FEF
.text          C:\WINDOWS\Explorer.EXE[2580] ntdll.dll!NtCreateFile                                              7C91D0AE 5 Bytes  JMP 00090000
.text          C:\WINDOWS\Explorer.EXE[2580] ntdll.dll!NtCreateProcess                                          7C91D14E 5 Bytes  JMP 00090FE5
.text          C:\WINDOWS\Explorer.EXE[2580] ntdll.dll!NtProtectVirtualMemory                                    7C91D6EE 5 Bytes  JMP 0009001B
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateFileA                                            7C801A28 5 Bytes  JMP 001B0000
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!VirtualProtectEx                                      7C801A61 5 Bytes  JMP 001B0FCA
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!VirtualProtect                                        7C801AD4 5 Bytes  JMP 001B00BF
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!LoadLibraryExW                                        7C801AF5 5 Bytes  JMP 001B0098
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!LoadLibraryExA                                        7C801D53 5 Bytes  JMP 001B0FDB
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!LoadLibraryA                                          7C801D7B 5 Bytes  JMP 001B0058
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!GetStartupInfoW                                        7C801E54 5 Bytes  JMP 001B0F99
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!GetStartupInfoA                                        7C801EF2 5 Bytes  JMP 001B00EB
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateProcessW                                        7C802336 5 Bytes  JMP 001B0F6D
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateProcessA                                        7C80236B 5 Bytes  JMP 001B0F88
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!GetProcAddress                                        7C80AE40 5 Bytes  JMP 001B0121
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!LoadLibraryW                                          7C80AEEB 5 Bytes  JMP 001B007D
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateFileW                                            7C810800 5 Bytes  JMP 001B0011
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreatePipe                                            7C81D83F 5 Bytes  JMP 001B00DA
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateNamedPipeW                                      7C82F0DD 5 Bytes  JMP 001B0047
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateNamedPipeA                                      7C860CDC 5 Bytes  JMP 001B002C
.text          C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!WinExec                                                7C86250D 5 Bytes  JMP 001B0106
.text          C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegOpenKeyExW                                          77DA6AAF 5 Bytes  JMP 002A0025
.text          C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegCreateKeyExW                                        77DA776C 5 Bytes  JMP 002A0F9B
.text          C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegOpenKeyExA                                          77DA7852 5 Bytes  JMP 002A0FCA
.text          C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegOpenKeyW                                            77DA7946 5 Bytes  JMP 002A0000
.text          C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegCreateKeyExA                                        77DAE9F4 5 Bytes  JMP 002A0062
.text          C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegOpenKeyA                                            77DAEFC8 5 Bytes  JMP 002A0FE5
.text          C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegCreateKeyW                                          77DCBA55 5 Bytes  JMP 002A0051
.text          C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegCreateKeyA                                          77DCBCF3 5 Bytes  JMP 002A0040
.text          C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_wsystem                                                77BF931E 5 Bytes  JMP 002B0F97
.text          C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!system                                                  77BF93C7 5 Bytes  JMP 002B0FA8
.text          C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_creat                                                  77BFD40F 5 Bytes  JMP 002B0FDE
.text          C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_open                                                    77BFF566 5 Bytes  JMP 002B0FEF
.text          C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_wcreat                                                  77BFFC9B 5 Bytes  JMP 002B0FC3
.text          C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_wopen                                                  77C00055 5 Bytes  JMP 002B000C
.text          C:\WINDOWS\Explorer.EXE[2580] WININET.dll!InternetOpenA                                          408DD6A8 5 Bytes  JMP 002D0FEF
.text          C:\WINDOWS\Explorer.EXE[2580] WININET.dll!InternetOpenW                                          408DDB21 5 Bytes  JMP 002D0FD4
.text          C:\WINDOWS\Explorer.EXE[2580] WININET.dll!InternetOpenUrlA                                        408DF3BC 5 Bytes  JMP 002D000A
.text          C:\WINDOWS\Explorer.EXE[2580] WININET.dll!InternetOpenUrlW                                        40926DFF 5 Bytes  JMP 002D001B
.text          C:\WINDOWS\Explorer.EXE[2580] WS2_32.dll!socket                                                  71A14211 5 Bytes  JMP 02F6000A

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                          mfetdi2k.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                        mfetdi2k.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                        mfetdi2k.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                      mfetdi2k.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                          mfehidk.sys (McAfee Link Driver/McAfee, Inc.)

---- EOF - GMER 1.0.15 ----
--- --- ---

markusg 12.01.2012 14:14
hi
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

wesselow 12.01.2012 15:03
Combofix Logfile:
Code:
ComboFix 12-01-12.02 - wehserro 12.01.2012  14:46:17.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1250 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\wehserro.CMS\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Disabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}\PostBuild.exe
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\.lock
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.001
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.002
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.003
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.004
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.005
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.006
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\addr.dat
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\blk0001.dat
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\blkindex.dat
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\database\log.0000000142
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\db.log
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\debug.log
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\wallet.dat
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows\isRS-000.tmp
c:\windows\IsUn0407.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-12-12 bis 2012-01-12  ))))))))))))))))))))))))))))))
.
.
2012-01-09 14:03 . 2012-01-09 14:03        205072        ----a-w-        c:\windows\system32\drivers\tmcomm.sys
2012-01-09 13:54 . 2012-01-12 08:29        40776        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2012-01-09 13:54 . 2011-12-10 14:24        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-01-09 13:54 . 2012-01-12 08:25        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2012-01-03 07:22 . 2012-01-03 07:22        103864        ----a-w-        c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2012-01-03 07:22 . 2012-01-03 07:22        103864        ----a-w-        c:\programme\Internet Explorer\Plugins\nppdf32.dll
2011-12-23 07:36 . 2011-12-23 08:21        --------        d-----w-        c:\programme\Accessdiver
2011-12-15 09:13 . 2011-12-15 09:13        --------        d--h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files
2011-12-15 09:10 . 2011-12-15 12:49        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-08 10:28 . 2011-12-08 10:28        388096        ----a-r-        c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-12-05 06:43 . 2011-12-05 06:43        29480        ----a-w-        c:\windows\system32\msxml3a.dll
2011-11-25 21:57 . 2008-04-14 05:52        293888        ----a-w-        c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2008-04-14 05:23        1859712        ----a-w-        c:\windows\system32\win32k.sys
2011-11-21 15:45 . 2011-05-13 11:10        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-20 06:12 . 2008-04-14 05:52        61952        ----a-w-        c:\windows\system32\packager.exe
2011-11-04 19:13 . 2008-04-14 05:52        916992        ----a-w-        c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2008-04-14 05:53        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2011-11-04 19:13 . 2008-04-14 05:52        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2011-11-04 12:42 . 2011-11-04 12:42        116016        ----a-w-        c:\windows\system32\drivers\VBoxNetFlt.sys
2011-11-04 12:42 . 2010-06-28 09:55        158512        ----a-w-        c:\windows\system32\drivers\VBoxDrv.sys
2011-11-04 12:42 . 2010-06-28 09:55        91440        ----a-w-        c:\windows\system32\drivers\VBoxUSBMon.sys
2011-11-04 12:42 . 2010-06-25 14:01        104752        ----a-w-        c:\windows\system32\drivers\VBoxNetAdp.sys
2011-11-04 12:42 . 2011-11-04 12:42        135472        ----a-w-        c:\windows\system32\VBoxNetFltNobj.dll
2011-11-04 11:23 . 2008-04-14 05:25        385024        ----a-w-        c:\windows\system32\html.iec
2011-11-03 15:28 . 2008-04-14 05:52        387072        ----a-w-        c:\windows\system32\qdvd.dll
2011-11-03 15:28 . 2008-04-14 05:52        1297920        ----a-w-        c:\windows\system32\quartz.dll
2011-11-01 16:07 . 2008-04-14 05:52        1288704        ----a-w-        c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2008-04-14 05:52        33280        ----a-w-        c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2008-04-14 07:30        2029568        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2011-10-26 10:49 . 2008-04-14 05:29        2151424        ----a-w-        c:\windows\system32\ntoskrnl.exe
2011-10-18 11:13 . 2008-04-14 05:52        186880        ----a-w-        c:\windows\system32\encdec.dll
2011-10-14 14:47 . 2008-04-14 05:52        178176        ----a-w-        c:\windows\system32\winmm.dll
2011-10-14 14:47 . 2008-04-14 05:52        23040        ----a-w-        c:\windows\system32\mciseq.dll
2010-10-07 13:51 . 2011-06-23 14:04        3774976        ----a-w-        c:\programme\Gemeinsame Dateien\WSCAD55Demo.msi
2011-10-31 13:57 . 2011-03-23 14:52        134104        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
2011-02-04 18:07 . 2010-06-21 07:50        23864        ----a-w-        c:\programme\mozilla firefox\components\Scriptff.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-05 14:55        3911776        ----a-w-        c:\programme\ConduitEngine\ConduitEngin0.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\udaterui.exe" [2009-08-25 136512]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2011-08-16 124224]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-10-14 623992]
"AsusStartupHelp"="c:\programme\ASUS\AASP\1.00.17\AsRunHelp.exe" [2006-11-13 363008]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-08-03 13892200]
"NvMediaCenter"="NvMCTray.dll" [2011-08-03 111208]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2011-07-05 1632360]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2011-07-05 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-12-24 460872]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\wehserro.CMS\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2011-12-5 24242056]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Biet-O-Matic.lnk - d:\privat\Biet-O-Matic\Biet-O-Matic.exe [2011-3-17 1265664]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-10-14 20:38        623992        ----a-w-        c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 09:07        843712        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-01-03 21:51        37296        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-01 08:21        153136        ----a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]
2010-04-28 22:28        3727411        ----a-w-        c:\programme\Free Download Manager\fdm.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-06-01 15:35        136176        ----atw-        c:\dokumente und einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57        153136        ----a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2011-08-03 11:49        13892200        ----a-w-        c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2011-08-03 11:49        111208        ----a-w-        c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl]
2010-07-04 09:49        398568        ----a-w-        c:\programme\Sandboxie\SbieCtrl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 12:06        254696        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ttecx_hdd_led_win_xp]
2003-08-26 19:18        212992        ----a-w-        c:\programme\TtecX.com\Keyboard-HDD-LED\ttecx_hdd_led_win_xp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak UI 1.33 deutsch]
2000-10-06 22:13        106544        ----a-w-        c:\windows\system32\TWEAKUI.CPL
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\XAMPP\\apache\\bin\\httpd.exe"=
"c:\\XAMPP\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Bitcoin\\bitcoin.exe"=
"c:\\Dokumente und Einstellungen\\wehserro.CMS\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [17.06.2010 14:45 11448]
R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [09.11.2011 09:55 89624]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [28.06.2010 10:55 158512]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [28.06.2010 10:55 91440]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [14.09.2011 15:16 21992]
R2 DHCPServer;DHCP Server;c:\temp\DHCP\dhcpsrv.exe [29.09.2010 08:58 57344]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [09.01.2012 14:54 652872]
R2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\engineserver.exe [04.02.2011 19:07 22816]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [21.06.2010 08:50 148520]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [19.09.2011 09:40 2255464]
R2 TeamViewer7;TeamViewer 7;c:\programme\TeamViewer\Version7\TeamViewer_Service.exe [12.12.2011 08:46 2923392]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [09.01.2012 14:54 20464]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [25.06.2010 15:01 104752]
R3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\drivers\VBoxNetFlt.sys [04.11.2011 13:42 116016]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 12:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [16.02.2011 10:25 136176]
S3 ausens;ausens;c:\windows\system32\drivers\ausens.sys [13.08.2003 13:33 404736]
S3 BazisVirtualCDBus;WinCDEmu Virtual Bus Driver;c:\windows\system32\drivers\BazisVirtualCDBus.sys [06.04.2010 19:12 93848]
S3 cpuz130;cpuz130;\??\c:\dokume~1\wehserro.CMS\LOKALE~1\Temp\cpuz130\cpuz_x32.sys --> c:\dokume~1\wehserro.CMS\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [?]
S3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\drivers\cxbu0wdm.sys [25.01.2010 13:56 115712]
S3 DCamUSBIntel;AV301P Video Camera;c:\windows\system32\Drivers\TP6800.sys --> c:\windows\system32\Drivers\TP6800.sys [?]
S3 GPU-Z;GPU-Z;\??\c:\dokume~1\wehserro.CMS\LOKALE~1\Temp\GPU-Z.sys --> c:\dokume~1\wehserro.CMS\LOKALE~1\Temp\GPU-Z.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [16.02.2011 10:25 136176]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [09.01.2012 14:54 40776]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [21.06.2010 08:50 87808]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [12.06.2011 11:15 31125880]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S3 SIVDRIVER;SIV Kernel Driver;c:\windows\system32\drivers\SIVX32.sys [01.07.2010 08:42 13056]
S3 uafilter;uafilter;c:\windows\system32\drivers\UAFilter.sys [11.10.2010 13:16 9886]
S3 VBoxUSB;VirtualBox USB;c:\windows\system32\drivers\VBoxUSB.sys [28.06.2010 10:55 33712]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 12:16 753504]
S4 metasploitPostgreSQL;metasploitPostgreSQL;C:/METASP~1/POSTGR~1/bin/pg_ctl.exe runservice -N "metasploitPostgreSQL" -D "C:/METASP~1/POSTGR~1/data" --> C:/METASP~1/POSTGR~1/bin/pg_ctl.exe runservice -N metasploitPostgreSQL [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 15:53        451872        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-02-16 23:10]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-02-16 23:10]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-57989841-682003330-1003Core.job
- c:\dokumente und einstellungen\wehserro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-06-17 12:48]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-57989841-682003330-1003UA.job
- c:\dokumente und einstellungen\wehserro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-06-17 12:48]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-580282875-1176184684-930044561-1531Core.job
- c:\dokumente und einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-06-29 15:35]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-580282875-1176184684-930044561-1531UA.job
- c:\dokumente und einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-06-29 15:35]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = wordswile.tk:80
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
TCP: Interfaces\{3D8B9D76-4ED5-4DE6-A6E4-C62D1A12AFA8}: NameServer = 141.20.1.3,141.1.1.1
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - ProfilePath - c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Firefox\Profiles\p1yadxag.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - (no file)
MSConfigStartUp-ASUS Update Checker - c:\programme\ASUS\ASUSUpdate\UpdateChecker\UpdateChecker.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-12 14:54
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\metasploitPostgreSQL]
"ImagePath"="C:/METASP~1/POSTGR~1/bin/pg_ctl.exe runservice -N \"metasploitPostgreSQL\" -D \"C:/METASP~1/POSTGR~1/data\""
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\metasploitPostgreSQL]
"ImagePath"="C:/METASP~1/POSTGR~1/bin/pg_ctl.exe runservice -N \"metasploitPostgreSQL\" -D \"C:/METASP~1/POSTGR~1/data\""
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1388)
c:\programme\TeamViewer\Version7\tv_w32.dll
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll
c:\windows\system32\ieframe.dll
c:\programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Sandboxie\SbieSvc.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\vstskmgr.exe
c:\windows\system32\nvsvc32.exe
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
c:\programme\McAfee\VirusScan Enterprise\mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\mfeann.exe
c:\programme\TeamViewer\Version7\TeamViewer.exe
c:\programme\TeamViewer\Version7\tv_w32.exe
c:\programme\McAfee\Common Framework\McTray.exe
c:\windows\system32\RunDLL32.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-01-12  15:01:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-01-12 14:01
.
Vor Suchlauf: 16 Verzeichnis(se), 40.962.908.160 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 41.311.748.096 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 7C58C8B618DEE5439D0A41CCB40B131F
--- --- ---

markusg 12.01.2012 15:32
hast du dieses:
Bitcoin
mit absicht instaliert?

wesselow 12.01.2012 15:34
Ja, war vermutlich ein Fehler?

markusg 12.01.2012 16:08
war nur ne frage.
hattest du da noch aufgaben am laufen oder ist ne neuinstalation ebenso ok, ansonsten müssten wir es wiederherstellen.

malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

wesselow 12.01.2012 16:28
MBAM läßt sich installieren, macht das Update, läßt sich dann aber nicht starten (Malwarebytes Anti-Malware hat ein Problem festgestellt und muss beendet werden.)

Habe schon komplett deinstalliert und wieder neu installiert. Soll ich mal einen anderen Installationspfad probieren?

Bitcoin hatte ich nur mal getestet und keine ausstehenden Tasks mehr.

VG
Ronsen

markusg 12.01.2012 16:48
hi, wie sieht es im abgesicherten modus aus, sollte bei pc start mit f8 zu erreichen sein.

wesselow 12.01.2012 16:54
Hallo,

leider gleiches Problem.

VG
Ronsen

markusg 12.01.2012 17:02
ok
lade mal hitmanpro
http://www.trojaner-board.de/99424-c...o-scannen.html
doppelklick, settings, license, testlicense
dann scan, funde in quarantäne, log als xml exportieren, datei anhängen

wesselow 12.01.2012 17:31
Der Link bietet die deutsche Version, unter Einstellungen Lizenz kann man nicht Testlizenz auswählen. Scannen kann man, aber nichts exportieren...

markusg 12.01.2012 18:19
wieso nicht, es sollte möglich sein die test lizenz zu aktivieren, was passiert wenn du das machst?

wesselow 12.01.2012 18:22
Liste der Anhänge anzeigen (Anzahl: 1)
Es gibt keine Option die Testlizenz zu aktivieren (siehe Screenshot).

markusg 12.01.2012 19:34
habs jetzt noch mal probiert, das geht auf jede fälle.
anklicken, einstellung, lizenz und dort gibts den entsprechenden haken.
evtl. noch mal löschen, neu laden und aktive sicherheits software aus

wesselow 13.01.2012 07:28
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Markus,

leider gibt es diese Funktion auf meinem PC nicht. Ich habe das Programm auf einem anderen PC getestet, da kann man die Testversion aktivieren. Vielleicht reicht auch der Screenshot (siehe Anhang) anstatt der XML-Datei?

VG
Ronsen

markusg 13.01.2012 20:01
sieht nach fehlalarm aus

lade den CCleaner standard:
CCleaner Download - CCleaner 3.14.1616
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

wesselow 16.01.2012 07:27
Hallo Markus,

anbei die Liste.

VG
wesselow

Code:
7-Zip 9.20                12.01.2012 notwendig               
AccessDiver v4.281        Jean Fages        12.01.2012 unbekannt               
Adobe Acrobat 8.1.6 Professional        Adobe Systems        01.01.1970                8.1.6 notwendig
Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        12.01.2012                10.1.53.64 notwendig
Adobe Flash Player 11 Plugin        Adobe Systems Incorporated        12.01.2012                11.1.102.55 notwendig
Adobe Reader 9.5.0 - Deutsch        Adobe Systems Incorporated        12.01.2012        120,1MB        9.5.0 notwendig
Apple Application Support        Apple Inc.        26.10.2011        61,8MB        2.0.1 unnötig
Apple Software Update        Apple Inc.        26.10.2011        2,38MB        2.1.3.127 unnötig
ATITool Overclocking Utility                12.01.2012                0.26 unnötig
Biet-O-Matic v2.14.8        BOM Development Team        16.01.2012                Biet-O-Matic v2.14.8 notwendig
Bitcoin        Bitcoin project        12.01.2012                0.3.24 unnötig
CCleaner        Piriform        16.01.2012                3.14 notwendig
Compatibility Pack for the 2007 Office system        Microsoft Corporation        16.12.2011        180,0MB        12.0.6514.5001 notwendig
ConvertHelper 2.2        DownloadHelper        08.12.2010 unbekannt               
CPUID CPU-Z 1.58                14.09.2011 unnötig               
CPUID HWMonitor 1.18                16.09.2011 unnnötig               
DbVisualizer 7.1.5        DbVis Software AB        12.01.2012                7.1.5 notwendig
Dropbox        Dropbox, Inc.        12.01.2012                1.2.49 notwendig
EndNote X3        Thomson Reuters        01.07.2010        61,7MB        13.0.1.4261 unnötig
ESET Online Scanner v3                12.01.2012 notwendig               
Free Download Manager 3.0        FreeDownloadManager.ORG        29.11.2011 notwendig               
Free YouTube Download version 3.0.16.923        DVDVideoSoft Ltd.        26.10.2011 notwendig               
FreeMind                18.11.2010                0.8.1 notwendig
GetYourVid                12.01.2012 notwendig               
Google Chrome        Google Inc.        21.06.2010 notwendig                16.0.912.75
Google Earth        Google        18.11.2011        92,8MB        6.1.0.5001 notwendig
Graphviz        AT&T Research Labs        16.07.2010        75,7MB        2.26.3 notwendig
HiJackThis        Trend Micro        08.12.2011        0,36MB        1.0.0 notwendig
HP USB Disk Storage Format Tool                12.01.2012 notwendig               
IrfanView (remove only)        Irfan Skiljan        15.12.2011                4.27 notwendig
IsoBuster 2.8.5        Smart Projects        14.04.2011                2.8.5 notwendig
Java DB 10.6.2.1        Oracle        06.06.2011        29,9MB        10.6.2.1 notwendig
Java(TM) 6 Update 29        Oracle        06.06.2011        96,9MB        6.0.290 notwendig
Java(TM) SE Development Kit 6 Update 25        Oracle        06.06.2011        151,6MB        1.6.0.250 notwendig
KeePass Password Safe 1.19b        Dominik Reichl        04.05.2011                1.19b notwendig
Malwarebytes Anti-Malware Version 1.60.0.1800        Malwarebytes Corporation        13.01.2012                1.60.0.1800 notwendig
McAfee Agent        McAfee, Inc.        21.06.2010        16,7MB        4.0.0.1496 notwendig
McAfee VirusScan Enterprise        McAfee, Inc.        29.04.2011        52,8MB        8.7.00005 notwendig
MediaCoder 0.6.0        Stanley Huang        12.01.2012                0.6.0 notwendig
Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation        06.01.2012        185,3MB        2.2.30729 notwendig
Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation        23.06.2010        209MB        3.2.30729 notwendig
Microsoft .NET Framework 3.5 SP1        Microsoft Corporation        06.01.2012 notwendig               
Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        06.01.2012                4.0.30319 notwendig
Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        19.09.2011                4.0.30319 notwendig
Microsoft Compression Client Pack 1.0 for Windows XP        Microsoft Corporation        17.06.2010                1 notwendig
Microsoft Office File Validation Add-In        Microsoft Corporation        16.09.2011        11,2MB        14.0.5130.5003 notwendig
Microsoft Office Professional Edition 2003        Microsoft Corporation        12.01.2012        826MB        11.0.8173.0 notwendig
Microsoft Office Professional Plus 2010        Microsoft Corporation        12.01.2012                14.0.6029.1000 notwendig
Microsoft PowerPoint Viewer 97                12.01.2012 notwendig               
Microsoft User-Mode Driver Framework Feature Pack 1.0        Microsoft Corporation        17.06.2010 notwendig               
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        Microsoft Corporation        14.05.2011        0,11MB        8.0.50727.4053 notwendig
Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        05.07.2011        4,61MB        8.0.56336 notwendig
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570        Microsoft Corporation        20.04.2011        10,2MB        9.0.30729.5570 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729        Microsoft Corporation        29.06.2010        9,65MB        9.0.30729 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        17.06.2010        10,2MB        9.0.30729.4148 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        17.06.2011        10,2MB        9.0.30729.6161 notwendig
Mozilla Firefox 7.0.1 (x86 de)        Mozilla        13.01.2012                7.0.1 notwendig
Mozilla Thunderbird (8.0)        Mozilla        13.01.2012                8.0 (de) notwendig
MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        21.06.2010        1,42MB        4.20.9870.0 notwendig
MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        21.06.2010        2,77MB        4.20.9876.0 notwendig
msxml4        Default Company Name        01.09.2010        48,00KB        1.0.0 unbekannt
MySQL Workbench 5.1 OSS        MySQL AB        17.06.2010        35,3MB        5.1.18 notwendig
Nero 7 Essentials        Nero AG        17.06.2010        584MB        7.03.0279 notwendig
nLite 1.4.9.1        Dino Nuhagic (nuhi)        24.08.2011                1.4.9.1 notwendig
Notepad++                12.01.2012                5.7 notwendig
NVIDIA Drivers        NVIDIA Corporation        15.01.2012                1.10.59.37 notwendig
NVIDIA Grafiktreiber 280.26        NVIDIA Corporation        19.09.2011                280.26 notwendig
NVIDIA nView 135.94        NVIDIA Corporation        19.09.2011                135.94 notwendig
NVIDIA PhysX-Systemsoftware 9.10.0514        NVIDIA Corporation        19.09.2011                9.10.0514 notwendig
NVIDIA System Update        NVIDIA Corporation        19.09.2011                1.00.0000 notwendig
NVIDIA Update 1.4.28        NVIDIA Corporation        19.09.2011                1.4.28 notwendig
OpenLibraries                12.01.2012 unbekannt               
OpenOffice.org 3.2        OpenOffice.org        06.07.2010        365MB        3.2.9502 notwendig
Opera 11.60        Opera Software ASA        13.01.2012                11.60.1185 notwendig
Oracle VM VirtualBox 4.1.6        Oracle Corporation        12.12.2011        111,7MB        4.1.6 notwendig
PE Builder 3.1.10a        Bart Lagerweij        12.01.2012 unnötig
PowerISO        PowerISO Computing, Inc.        12.01.2012                4.8 notwendig
PSPad editor        Jan Fiala        30.11.2010 notwendig               
Python 2.3.4        Python Software Foundation        15.12.2011                2.3.4 unnötig
QuickTime        Apple Inc.        26.10.2011        73,0MB        7.70.80.34 notwendig
ResearchSoft Direct Export Helper                13.01.2012 unbekannt               
Sandboxie 3.62 (32-bit)        SANDBOXIE L.T.D        12.01.2012                3.62 notwendig
Security Update for Windows Search 4 - KB963093        Microsoft Corporation        17.06.2010 notwendig               
Skype™ 5.5        Skype Technologies S.A.        14.11.2011        17,0MB        5.5.124 notwendig
SoundMAX        Analog Devices        10.11.2011                5.10.01.6110 notwendig
Spybot - Search & Destroy        Safer Networking Limited        18.08.2010                1.6.2 notwendig
SSH Secure Shell                15.12.2011 notwendig               
Ssrc SVG Plugin v1.9.2.8        Savarese Software Research Corporation        15.12.2011 notwendig               
TeamViewer 7        TeamViewer        12.01.2012                7.0.12189 notwendig
Total Commander (Remove or Repair)        Ghisler Software GmbH        12.01.2012                7.50a notwendig
Universal Extractor 1.6.1        Jared Breland        25.08.2011                1.6.1 notwendig
uTorrentBar Toolbar        uTorrentBar        12.01.2012                6.2.3.0 unnötig
VLC media player 1.1.4        VideoLAN        12.01.2012                1.1.4 notwendig
Windows Genuine Advantage Validation Tool (KB892130)        Microsoft Corporation        17.06.2010 notwendig               
Windows Internet Explorer 8        Microsoft Corporation        17.06.2010                20090308.140743 notwendig
Windows Media Format 11 runtime                14.01.2012 notwendig               
Windows Media Player 11                14.01.2012 notwendig               
Windows Search 4.0        Microsoft Corporation        17.06.2010                04.00.6001.503 notwendig
WinHTTrack Website Copier 3.44-1        HTTrack        21.10.2011                3.44.1 notwendig
WinMerge 2.12.4        Thingamahoochie Software        15.09.2010                2.12.4 notwendig
WinSCP 4.3.6        Martin Prikryl        09.01.2012                4.3.6 notwendig
Wireshark 1.4.0        The Wireshark developer community, hxxp://www.wireshark.org        12.01.2012                1.4.0 notwendig
XAMPP 1.7.4                12.01.2012 notwendig               
yEd Graph Editor 3.7.0.2        yWorks GmbH        12.01.2012                3.7.0.2 notwendig

markusg 16.01.2012 13:16
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Bitcoin Apple beide
ConvertHelper
CPUID beide
EndNote
ESET kann bei bedarf drauf.
HiJackThis
Java beide
Download der kostenlosen Java-Software
downloade java jre instalieren

McAfee prüf da mal auf der homepage ob du die neueste version hast, ich glaub die produktreihe 2012 kam später und du müsstest dann noch upgraden, sollte kostenlos sein
Mozilla Firefox
Webbrowser Firefox auf Deutsch | Schneller, sicherer und anpassbar
aktuell version 9
aber du hast chrome und opera, die sind beide sicherer als ff, den würd ich eher komplett runter hauen.
Spybot verzichte drauf, ist nicht mehr zeitgemäß, scanne ab und zu mit malwarebytes, nach update.
deinstaliere
uTorrentBar

öffne otl, klicke bereinigen, neustarten.
öffne ccleaner, analysieren, bereinigen, neustarten, testen ob alles läuft wie gewünscht.

wesselow 16.01.2012 15:07
Hallo Markus,

auf den ersten Blick sieht's gut aus. Aber MBAM läßt sich noch nicht starten.

Zur Sicherheit würde ich gerne nochmal einen Scan machen.

VG
wesselow

markusg 16.01.2012 15:41
hast du malwarebytes im standard pfad instaliert?
nutze mal rewo, deinstaliere damit mbam:
http://www.hijackthis-forum.de/tipps...installer.html
lade dir das neueste mbam setup, versuche die instalation noch mal, und zwar alles in die forgegebenen ordner.
wenn es dann wieder probleme gibt, poste mal die problem details.

wesselow 17.01.2012 10:11
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Markus,

habe alles befolgt, was Du gesagt hast. Installation läuft problemlos durch, anschließendes Update auch, wenn ich MBAM starte kommt folgende Fehlermeldung: siehe Screenshot im Anhang.
McAfee ist deaktiviert!

VG
wesselow

markusg 17.01.2012 16:47
bitte deinstaliere malwarebytes mit dem folgendem tool:
www.malwarebytes.org/mbam-clean.exe
neustarten, neuestes setup laden, instalieren, neustarten, und dann den scan noch mal probieren.

wesselow 19.01.2012 09:18
Hallo Markus,

MBAM funktioniert jetzt. Ich bin zwar jetzt nicht sicher, ob es an dem Deinstall-Tool lag oder daran, dass ich nun McAfee geupdated habe, aber egal.

MBAM hat keine Funde gemeldet.

Sind wir jetzt durch? Das Problem mit dem bis in den Taskmanager minimierenden WinSCP habe ich immer noch...

VG
wesselow

markusg 19.01.2012 12:55
hmm dann solltest das gerät vllt mal komplett formatieren,neu aufsetzen und absichern.

wesselow 19.01.2012 14:20
Hallo Markus,

ok. Das ist zwar sehr unbefriedigend, aber wahrscheinlich unvermeidlich.

Danke für Deine Hilfe.

VG
wesselow

markusg 19.01.2012 15:38
hi,
wir können uns dann darum kümmern das der pc in zukunft besser geschützt ist, und du backups etc machen kannst, damit so was in zukunft nicht mehr passiert.

wesselow 20.01.2012 08:26
Hallo Markus,

da gibt's doch sicher einen Link zu 'ner Anleitung, damit ich von Anfang an alles richtig mache!?

VG
wesselow

markusg 20.01.2012 13:06
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware

und du kannst vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows xp, arbeite alles ab
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/
anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

wesselow 20.01.2012 13:40
Hallo Markus,

:eek: gut das heute Freitag ist!

Ich werde die Anleitungen mal am WE durcharbeiten.

Ich nutze Windows XP, mit Chrome, Opera (wegen des guten Mailclients) und Internet Explorer (eigentlich nur für die Windowsupdates). Für manche Seiten auch Firefox, aber eher selten bis nie.

Ich hatte schon über die Anschaffung von Windows 7 nachgedacht (gibt es ja manchmal relativ günstig), weil es stabiler, sicherer und resourcenschonender sein soll. Windows XP war bei meinen jetzigen PCs und Laptops immer mit dabei.

VG
wesselow

markusg 20.01.2012 16:28
hi,
dann musst du bei sandboxie programm und internet zugriff noch eintragen:
iexplore.exe
opera.exe
firefox.exe
plugin-container.exe

außerdem solltest du dann über die anschaffung von sandboxie nachdenken wenn du damit zurecht kommst.
denn jetzt wird das symbol sandboxed webbrowser nur den als standard eingestellten browser öffnen, mit sandboxie in der vollversion könntest du erzwungene programmstarts festlegen, dann würde immer der browser in der sandbox gestartet, auf dessen symbol du klickst
wenn du windows 7 nutzen willst, hast du denn schon das tool genutzt um deine hardware zu überprüfen ob sie w7 tauglich ist?


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:06 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58