Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus, welcher sich als Antivirenprogramm von Microsoft ausgibt ! (https://www.trojaner-board.de/108278-virus-welcher-antivirenprogramm-microsoft-ausgibt.html)

Lightning13 18.01.2012 21:47
Virus, welcher sich als Antivirenprogramm von Microsoft ausgibt !
 
Hallo, Liebe Community ! (Ich hoffe der Titel ist passend gewählt...)

Zunächst muss ich erwähnen, dass ich mich in Bezug auf Virenbekämpfung wirklich null auskennne.
Ich versuche mal meinen Virus zu beschreiben:
Mein PC (Windows Vista) hat einen Virus abbekommen, obwohl ich Avira AntiVir installiert habe. Dieser Virus gibt sich als offizielles Antivirenprogramm von Microsoft aus, führt einen Scan aus und sagt mir andauernd, dass ich einen Virus habe, was ja auch stimmt, jedoch verlangt der Virus auch gleichzeitig das Antivirenprogramm von Microsoft, welches ja ganz offensichtlich nicht wirklich von Microsoft ist herunterzuladen und einen Geldbetrag ( Ich meine der Betrag sind 69,99 US-Dollar, bin mir aber nicht sicher) zu bezahlen.
Ich kann unter anderem Browser, ITunes oder die Systemsteuerung nicht mehr öffnen, ständig werde ich darauf verwiesen mir dieses kostenpflichtige Antivirenprogramm zu kaufen.

Ich habe daraufhin auch eine vollständige Systemüberprüfung mit AntiVir durchgeführt und habe auch 4 infizierte Dateien gefunden und deise in Quarantäne verschoben, aber hat nichts geholfen...


Ich hoffe ihr kennt diesen Virus aus Erfahrungen und könnt mir helfen, ich danke euch schonmal für eure Hilfe, will den PC nicht neu aufsetzen, da dort wichtige Dateien drauf sind...

PS: Ich habe momentan keine Internetverbindung bei diesem infizierten PC, USB wird aber erkannt, sodass ich die benötige Software auch bei einem anderen PC herunterladen kann, dürfte kein Problem sein, oder ?

markusg 19.01.2012 13:38
hi,
starte mal neu, drücke f8 wähle abgesicherter modus mit netzwerk.
dort solltest du arbeiten können.
falls nicht muss doch der stick ran :-)
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Lightning13 20.01.2012 00:18
Vielen Dank, dass du das Problem angenommen hast ! :)

Ich habe alle Schritte so ausgeführt wie beschrieben und hier sind die Inhalte der beiden Textdateien:

OTL:
OTL Logfile:
Code:
OTL logfile created on: 19.01.2012 18:24:22 - Run 1
OTL by OldTimer - Version 3.2.31.0    Folder = C:\Users\Lightning\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000c07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,63 Gb Available Physical Memory | 81,63% Memory free
4,23 Gb Paging File | 4,01 Gb Available in Paging File | 94,92% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 445,76 Gb Total Space | 76,73 Gb Free Space | 17,21% Space Free | Partition Type: NTFS
Drive D: | 19,99 Gb Total Space | 12,00 Gb Free Space | 60,02% Space Free | Partition Type: FAT32
Unable to calculate disk information.
Drive I: | 1,86 Gb Total Space | 1,82 Gb Free Space | 98,02% Space Free | Partition Type: FAT
 
Computer Name: LIGHTNING-PC | User Name: Lightning | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.01.19 18:03:54 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Users\Lightning\Desktop\OTL.exe
PRC - [2012.01.17 19:57:27 | 000,328,192 | ---- | M] (Корпорация Майкрософт) -- C:\Users\Lightning\AppData\Local\vtb.exe
PRC - [2009.04.10 22:28:16 | 000,117,248 | ---- | M] () -- \\?\C:\Windows\System32\wbem\WMIADAP.EXE
PRC - [2009.04.10 22:27:38 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.07.04 20:36:36 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.05.24 09:33:30 | 001,840,128 | ---- | M] (MAGIX AG) [Unknown | Stopped] -- C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2011.05.21 05:01:00 | 002,214,504 | ---- | M] (NVIDIA Corporation) [Auto | Stopped] -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService)
SRV - [2011.04.27 10:20:14 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.04.26 12:54:12 | 002,702,848 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2010.01.15 13:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2009.01.26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Stopped] -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)
SRV - [2001.11.12 13:31:48 | 000,020,480 | ---- | M] (X10) [Auto | Stopped] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.04 20:36:41 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.04 20:36:41 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.05.21 05:01:00 | 010,589,800 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2010.06.17 14:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.04.15 09:49:18 | 000,052,736 | ---- | M] (Service & Quality Technology.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Capt900a.sys -- (SQTECH900A) Instant USB Camera(PID_900A_00)
DRV - [2008.01.19 05:25:05 | 000,220,672 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\e1e6032.sys -- (e1express) Intel(R)
DRV - [2007.09.21 09:38:22 | 000,554,496 | ---- | M] (Ralink Technology Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\netr28u.sys -- (netr28u)
DRV - [2007.08.22 10:01:58 | 001,242,976 | ---- | M] (NXP Semiconductors Germany GmbH) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2007.04.03 09:43:28 | 001,131,136 | ---- | M] (Philips Semiconductors GmbH) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Ph3xIB32.sys -- (Ph3xIB32)
DRV - [2006.11.30 15:18:18 | 000,027,416 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\x10ufx2.sys -- (XUIF)
DRV - [2006.11.17 10:31:04 | 000,013,976 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\x10hid.sys -- (X10Hid)
DRV - [2006.11.02 08:36:43 | 002,028,032 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\atikmdag.sys -- (R300)
DRV - [2002.04.30 11:34:00 | 000,176,128 | ---- | M] (Agere Systems Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\wlags51b.sys -- (wlags51b)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://start.facemoods.com/?a=bf&s={searchTerms}&f=4
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Welcome!
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://snsdkorean.com/"
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@ptc.com/ProductViewLite: C:\Program Files\Common Files\PTC\np6_pvapplite9.dll (PTC)
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Users\Lightning\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp435@crossrider.com: C:\ProgramData\CodecCheck\firefox [2011.07.06 22:09:12 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011.07.06 22:25:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.01.07 21:43:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.09.13 19:56:35 | 000,000,000 | ---D | M]
 
[2011.03.07 15:59:49 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lightning\AppData\Roaming\mozilla\Extensions
[2011.10.23 13:47:26 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lightning\AppData\Roaming\mozilla\Firefox\Profiles\jzyjctaa.default\extensions
[2011.11.09 20:26:35 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\USERS\LIGHTNING\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JZYJCTAA.DEFAULT\EXTENSIONS\{40A1F5D7-AFC2-498F-B264-02668D616FF6}.XPI
[2012.01.07 21:43:17 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011.06.01 16:29:37 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2011.10.04 17:19:31 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.04 17:19:31 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.10.04 17:19:31 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.07.06 22:09:52 | 000,002,045 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
[2011.10.04 17:19:31 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.04 17:19:31 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.04 17:19:31 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
Hosts file not found
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programme\facemoods.com\facemoods\1.4.17.10\bh\facemoods.dll (facemoods.com BHO)
O2 - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Programme\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (CrossRider) - {A876E312-7D08-401a-B7A6-FAFC5DC2F292} - C:\Programme\CrossriderWebApps\Crossrider.dll ()
O2 - BHO: (Social Extras Plugin) - {FF4E1D1D-705B-4379-AB33-22D98C1ABF55} - C:\Programme\SocialExtras\socialx.dll (FBSkins.com)
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.4.17.10\facemoodsTlbr.dll (facemoods.com)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [facemoods] C:\Program Files\facemoods.com\facemoods\1.4.17.10\facemoodssrv.exe (facemoods.com)
O4 - HKLM..\Run: [NBAgent] C:\Program Files\Nero\Nero BackItUp & Burn\Nero BackItUp\NBAgent.exe (Nero AG)
O4 - HKLM..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_MX_Download-Version\Trayserver_DE.exe (MAGIX AG)
O4 - HKCU..\Run: [CrossRiderPlugin] C:\Programme\CrossriderWebApps\Crossrider.exe (Crossrider)
O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Users\Lightning\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
O4 - Startup: C:\Users\Lightning\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Lightning\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O8 - Extra context menu item: Free YouTube Download - C:\Users\Lightning\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Lightning\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138 10.0.0.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0619EF37-D69D-411F-B549-205CA2FF5EBD}: DhcpNameServer = 10.0.0.138 10.0.0.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A57021A1-EF73-4756-BC7A-D4B58245E0FC}: DhcpNameServer = 10.0.0.138 10.0.0.138
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Programme\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) -C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) -C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Lightning\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Lightning\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{b399d926-5222-11e0-b16f-00022d89140f}\Shell - "" = AutoRun
O33 - MountPoints2\{b399d926-5222-11e0-b16f-00022d89140f}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKCU\...exe [@ = ymcu] -- "C:\Users\Lightning\AppData\Local\vtb.exe" -a "%1" %* (?????????? ??????????)
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} -
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} -
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
 
CREATERESTOREPOINT
Error creating restore point.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.01.19 18:06:11 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Users\Lightning\Desktop\OTL.exe
[2012.01.17 19:57:27 | 000,328,192 | ---- | C] (Корпорация Майкрософт) -- C:\Users\Lightning\AppData\Local\vtb.exe
[2011.12.30 12:29:20 | 000,000,000 | ---D | C] -- C:\ProgramData\WEBREG
[2011.12.30 12:16:27 | 000,000,000 | ---D | C] -- C:\Users\Lightning\AppData\Roaming\HP
[2011.12.30 12:15:57 | 000,000,000 | ---D | C] -- C:\ProgramData\HPSSUPPLY
[2011.12.30 12:13:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP
[2011.12.30 12:12:29 | 000,000,000 | ---D | C] -- C:\Program Files\Hewlett-Packard
[2011.12.30 12:12:29 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Hewlett-Packard
[2011.12.30 12:12:05 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\HP
[2011.12.30 12:10:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Hewlett-Packard
[2011.12.30 12:08:15 | 000,000,000 | ---D | C] -- C:\Program Files\HP
[2011.12.30 12:08:14 | 000,000,000 | -H-D | C] -- C:\Config.Msi
[2011.12.30 12:06:49 | 000,000,000 | ---D | C] -- C:\ProgramData\HP
[2011.12.30 11:51:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverTuner
[2011.12.30 11:51:43 | 000,000,000 | ---D | C] -- C:\Program Files\DriverTuner
[2011.12.23 19:43:50 | 000,000,000 | ---D | C] -- C:\Program Files\TKexe
 
========== Files - Modified Within 30 Days ==========
 
[2012.01.19 18:25:05 | 000,627,756 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.01.19 18:25:05 | 000,595,386 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.01.19 18:25:05 | 000,125,676 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.01.19 18:25:05 | 000,103,460 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.01.19 18:21:04 | 000,009,205 | ---- | M] () -- C:\ProgramData\84e2a78c
[2012.01.19 18:21:04 | 000,009,147 | ---- | M] () -- C:\Users\Lightning\AppData\Roaming\accef828
[2012.01.19 18:21:04 | 000,009,053 | ---- | M] () -- C:\Users\Lightning\AppData\Local\70b91e30
[2012.01.19 18:20:16 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.01.19 18:17:00 | 000,003,264 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.01.19 18:17:00 | 000,003,264 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.01.19 18:03:54 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Users\Lightning\Desktop\OTL.exe
[2012.01.19 17:41:52 | 000,001,356 | ---- | M] () -- C:\Users\Lightning\AppData\Local\d3d9caps.dat
[2012.01.17 19:57:27 | 000,328,192 | ---- | M] (Корпорация Майкрософт) -- C:\Users\Lightning\AppData\Local\vtb.exe
[2012.01.06 20:16:00 | 000,087,040 | ---- | M] () -- C:\Users\Lightning\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.01.02 19:53:38 | 000,049,104 | ---- | M] () -- C:\Users\Lightning\Documents\ISO1.nri
[2011.12.30 13:21:15 | 024,731,648 | ---- | M] () -- C:\Users\Lightning\SNSD_Kalender.mdb
[2011.12.30 13:21:11 | 024,731,648 | ---- | M] () -- C:\Users\Lightning\SNSD_Kalender_2012.mdb
[2011.12.30 12:29:41 | 000,146,191 | ---- | M] () -- C:\Windows\hpoins18.dat
[2011.12.30 12:13:09 | 000,001,976 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
[2011.12.30 12:01:36 | 000,001,905 | ---- | M] () -- C:\Windows\diagwrn.xml
[2011.12.30 12:01:36 | 000,001,905 | ---- | M] () -- C:\Windows\diagerr.xml
[2011.12.30 00:49:19 | 018,632,704 | ---- | M] () -- C:\Users\Lightning\Documents\SNSD_Kalender.mdb
[2011.12.29 17:04:49 | 000,000,915 | ---- | M] () -- C:\Users\Lightning\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2011.12.23 19:43:54 | 000,000,000 | ---- | M] () -- C:\Windows\Setup.INI
 
========== Files Created - No Company Name ==========
 
[2012.01.17 19:57:27 | 000,009,205 | ---- | C] () -- C:\ProgramData\84e2a78c
[2012.01.17 19:57:27 | 000,009,147 | ---- | C] () -- C:\Users\Lightning\AppData\Roaming\accef828
[2012.01.17 19:57:27 | 000,009,053 | ---- | C] () -- C:\Users\Lightning\AppData\Local\70b91e30
[2011.12.30 13:21:10 | 024,731,648 | ---- | C] () -- C:\Users\Lightning\SNSD_Kalender.mdb
[2011.12.30 12:15:37 | 000,000,861 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I.R.I.S. OCR-Registrierung.lnk
[2011.12.30 12:13:09 | 000,001,976 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
[2011.12.30 12:08:24 | 000,018,747 | ---- | C] () -- C:\Windows\System32\HPCEAC06.HPI
[2011.12.30 12:07:20 | 000,146,191 | ---- | C] () -- C:\Windows\hpoins18.dat
[2011.12.30 12:06:44 | 000,006,600 | ---- | C] () -- C:\Windows\hpomdl18.dat
[2011.12.30 11:49:19 | 000,001,905 | ---- | C] () -- C:\Windows\diagwrn.xml
[2011.12.30 11:49:19 | 000,001,905 | ---- | C] () -- C:\Windows\diagerr.xml
[2011.12.30 00:49:19 | 024,731,648 | ---- | C] () -- C:\Users\Lightning\SNSD_Kalender_2012.mdb
[2011.12.29 21:22:00 | 018,632,704 | ---- | C] () -- C:\Users\Lightning\Documents\SNSD_Kalender.mdb
[2011.12.23 19:43:54 | 000,000,000 | ---- | C] () -- C:\Windows\Setup.INI
[2011.12.23 19:43:53 | 000,303,104 | ---- | C] () -- C:\Windows\Uninstall_tkexe.exe
[2011.12.23 19:43:53 | 000,000,807 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TKexe.lnk
[2011.07.17 17:33:04 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2011.07.17 17:32:15 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2011.07.17 17:32:15 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2011.06.08 12:32:08 | 000,000,020 | ---- | C] () -- C:\Windows\mafosav.INI
[2011.05.18 08:17:13 | 000,027,648 | ---- | C] () -- C:\Windows\System32\AVSredirect.dll
[2011.05.10 18:33:20 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2011.03.10 19:18:39 | 000,000,403 | ---- | C] () -- C:\Windows\ODBC.INI
[2011.03.09 19:37:51 | 000,087,040 | ---- | C] () -- C:\Users\Lightning\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.03.07 23:49:13 | 000,009,824 | ---- | C] () -- C:\Windows\System32\34CoInstaller.dll
[2011.03.07 23:33:58 | 000,000,142 | ---- | C] () -- C:\ProgramData\nvUnsupRes.dat
[2011.03.07 15:59:42 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2011.03.07 15:35:16 | 000,094,208 | ---- | C] () -- C:\Windows\System32\EZCOMP.DLL
[2011.03.06 18:35:37 | 000,127,184 | ---- | C] () -- C:\Windows\Unwise.exe
[2011.03.06 18:21:56 | 000,001,356 | ---- | C] () -- C:\Users\Lightning\AppData\Local\d3d9caps.dat
[2010.02.22 20:42:02 | 000,126,976 | ---- | C] () -- C:\Windows\gdf.dll
[2007.04.27 09:43:58 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll
[2006.12.11 05:06:31 | 000,000,000 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2006.11.02 16:33:31 | 000,627,756 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2006.11.02 16:33:31 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2006.11.02 16:33:31 | 000,125,676 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2006.11.02 16:33:31 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2006.11.02 13:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006.11.02 13:47:37 | 000,430,600 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006.11.02 13:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 11:33:01 | 000,595,386 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006.11.02 11:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006.11.02 11:33:01 | 000,103,460 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006.11.02 11:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006.11.02 11:25:44 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2006.11.02 11:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006.11.02 09:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006.11.02 09:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006.11.02 08:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.11.02 08:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[1999.01.22 19:46:58 | 000,065,536 | ---- | C] () -- C:\Windows\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2011.09.09 15:40:17 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\avidemux
[2011.03.07 16:47:24 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\Canneverbe Limited
[2012.01.19 18:17:16 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\Dropbox
[2011.07.23 15:22:44 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\DVDVideoSoft
[2011.05.01 15:29:35 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\DVDVideoSoftIEHelpers
[2011.09.09 17:15:48 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\MAGIX
[2011.07.20 12:22:31 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\Octoshape
[2011.10.20 20:09:59 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\PhotoFiltre
[2011.03.19 14:23:13 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\PTC
[2011.07.18 17:57:42 | 000,000,000 | ---D | M] -- C:\Users\Lightning\AppData\Roaming\TS3Client
[2012.01.19 18:18:14 | 000,032,510 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.03.06 18:22:15 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN
[2011.07.17 17:55:21 | 000,000,000 | -HSD | M] -- C:\Boot
[2011.07.06 22:03:48 | 000,000,000 | ---D | M] -- C:\codec-info
[2012.01.12 17:23:08 | 000,000,000 | -H-D | M] -- C:\Config.Msi
[2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2010.07.30 13:43:57 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2007.10.23 12:30:12 | 000,000,000 | ---D | M] -- C:\Intel
[2007.10.29 11:35:05 | 000,000,000 | ---D | M] -- C:\MyWorks
[2011.07.17 16:25:41 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2011.12.30 12:12:29 | 000,000,000 | R--D | M] -- C:\Program Files
[2012.01.17 19:57:27 | 000,000,000 | -H-D | M] -- C:\ProgramData
[2010.07.30 13:43:57 | 000,000,000 | -HSD | M] -- C:\Programme
[2011.03.19 14:27:31 | 000,000,000 | ---D | M] -- C:\PTC
[2012.01.18 19:34:26 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.10.02 15:51:53 | 000,000,000 | ---D | M] -- C:\UltraStar Deluxe CMD Edition
[2011.07.18 11:13:40 | 000,000,000 | R--D | M] -- C:\Users
[2012.01.18 20:32:47 | 000,000,000 | ---D | M] -- C:\Windows
 
< %PROGRAMFILES%\*.exe >
 
< %LOCALAPPDATA%\*.exe >
[2012.01.17 19:57:27 | 000,328,192 | ---- | M] (Корпорация Майкрософт) -- C:\Users\Lightning\AppData\Local\vtb.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_51b95d75\AGP440.sys
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440.sys
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_bbfe6647bbd2a4c6\AGP440.sys
[2006.11.02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\drivers\AGP440.sys
[2006.11.02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2009.04.11 07:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\SoftwareDistribution\Download\bcfed137e95e2bc1b83ef80262a82b16\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
[2009.04.10 22:32:28 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\System32\drivers\atapi.sys
[2009.04.10 22:32:28 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
[2009.04.10 22:32:28 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
[2008.01.19 08:41:30 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
[2008.01.19 08:41:30 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
[2006.11.02 10:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
[2007.04.17 09:30:38 | 000,021,688 | ---- | M] (Microsoft Corporation) MD5=78620BDA3EC87816E5D1FA86F920BC3A -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c2a1b5ae\atapi.sys
[2007.04.17 09:30:38 | 000,021,688 | ---- | M] (Microsoft Corporation) MD5=78620BDA3EC87816E5D1FA86F920BC3A -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20518_none_dbd8b4d73d81c9d0\atapi.sys
[2011.03.08 15:47:37 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=B35CFCEF838382AB6490B321C87EDF17 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
[2011.03.08 15:47:37 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=B35CFCEF838382AB6490B321C87EDF17 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
[2011.03.08 15:47:36 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=E03E8C99D15D0381E02743C36AFC7C6F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_64dfd8ea\atapi.sys
[2011.03.08 15:47:36 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=E03E8C99D15D0381E02743C36AFC7C6F -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\System32\cngaudit.dll
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll
 
< MD5 for: EXPLORER.EXE  >
[2011.03.08 15:46:08 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
[2011.03.08 15:46:07 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
[2011.03.08 15:46:07 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
[2011.03.08 16:25:13 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=6D06CD98D954FE87FB2DB8108793B399 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16549_none_4fac29707cae347a\explorer.exe
[2011.03.08 16:25:12 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=BD06F0BF753BC704B653C3A50F89D362 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20668_none_501f261995dcf2cf\explorer.exe
[2009.04.10 22:27:38 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\explorer.exe
[2009.04.11 07:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\SoftwareDistribution\Download\bcfed137e95e2bc1b83ef80262a82b16\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe
[2009.04.10 22:27:38 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe
[2011.03.08 15:46:08 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
[2006.11.02 10:45:07 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=FD8C53FB002217F6F888BCF6F5D7084D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16386_none_4f7de5167cd15deb\explorer.exe
[2008.01.19 08:33:10 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe
 
< MD5 for: IASTORV.SYS  >
[2008.01.19 08:42:51 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_c9df7691\iaStorV.sys
[2008.01.19 08:42:51 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStorV.sys
[2006.11.02 10:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\drivers\iaStorV.sys
[2006.11.02 10:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2006.11.02 10:46:11 | 000,559,616 | ---- | M] (Microsoft Corporation) MD5=889A2C9F2AACCD8F64EF50AC0B3D553B -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6000.16386_none_fb80f5473b0ed783\netlogon.dll
[2009.04.11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\SoftwareDistribution\Download\bcfed137e95e2bc1b83ef80262a82b16\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll
[2009.04.10 22:28:24 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\System32\netlogon.dll
[2009.04.10 22:28:24 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll
[2008.01.19 08:35:36 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll
 
< MD5 for: NVSTOR.SYS  >
[2006.11.02 10:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\drivers\nvstor.sys
[2006.11.02 10:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys
[2008.01.19 08:42:09 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_31c3d71d\nvstor.sys
[2008.01.19 08:42:09 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor.sys
 
< MD5 for: SCECLI.DLL  >
[2008.01.19 08:36:19 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll
[2006.11.02 10:46:12 | 000,176,640 | ---- | M] (Microsoft Corporation) MD5=80E2839D05CA5970A86D7BE2A08BFF61 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6000.16386_none_35d7205fdc305e3e\scecli.dll
[2009.04.11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\SoftwareDistribution\Download\bcfed137e95e2bc1b83ef80262a82b16\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll
[2009.04.10 22:28:26 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\System32\scecli.dll
[2009.04.10 22:28:26 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll
 
< MD5 for: USER32.DLL  >
[2011.03.08 14:19:24 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=63B4F59D7C89B1BF5277F1FFEFD491CD -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.16438_none_cb39bc5b7047127e\user32.dll
[2009.04.11 07:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) MD5=75510147B94598407666F4802797C75A -- C:\Windows\SoftwareDistribution\Download\bcfed137e95e2bc1b83ef80262a82b16\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_cf23e54d6a7e4a7e\user32.dll
[2009.04.10 22:28:26 | 000,627,712 | ---- | M] (Microsoft Corporation) MD5=75510147B94598407666F4802797C75A -- C:\Windows\System32\user32.dll
[2009.04.10 22:28:26 | 000,627,712 | ---- | M] (Microsoft Corporation) MD5=75510147B94598407666F4802797C75A -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_cf23e54d6a7e4a7e\user32.dll
[2011.03.08 14:19:24 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=9D9F061EDA75425FC67F0365E3467C86 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.20537_none_cbc258dc896598f1\user32.dll
[2008.01.19 08:36:46 | 000,627,200 | ---- | M] (Microsoft Corporation) MD5=B974D9F06DC7D1908E825DC201681269 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_cd386c416d5c7f32\user32.dll
[2006.11.02 10:46:13 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=E698A5437B89A285ACA3FF022356810A -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.16386_none_cb01aa4570716e5e\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.01.19 08:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\System32\userinit.exe
[2008.01.19 08:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
[2006.11.02 10:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FBDE3D11 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6000.16386_none_d9f1f819d4c4e737\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009.04.11 07:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\SoftwareDistribution\Download\bcfed137e95e2bc1b83ef80262a82b16\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2009.04.10 22:28:14 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\System32\winlogon.exe
[2009.04.10 22:28:14 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2006.11.02 10:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA350BAAD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6000.16386_none_6d8c3f1ad8066b21\winlogon.exe
[2008.01.19 08:33:37 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2006.11.02 09:58:26 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=84620AECDCFD2A7A14E6263927D8C0ED -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6000.16386_none_4d4fded8cae2956d\ws2ifsl.sys
[2008.01.19 06:56:49 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\System32\drivers\ws2ifsl.sys
[2008.01.19 06:56:49 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_4f86a0d4c7cda641\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2006.11.02 11:34:05 | 000,008,192 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2006.11.02 11:34:05 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2006.11.02 11:34:05 | 000,008,192 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2006.11.02 11:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2006.11.02 11:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %USERPROFILE%\*.* >
[2011.08.17 17:16:48 | 000,020,992 | ---- | M] () -- C:\Users\Lightning\Lärmschutzwall.doc
[2012.01.19 18:34:51 | 002,359,296 | -HS- | M] () -- C:\Users\Lightning\NTUSER.DAT
[2012.01.19 18:34:51 | 000,262,144 | -H-- | M] () -- C:\Users\Lightning\ntuser.dat.LOG1
[2011.03.06 18:21:53 | 000,000,000 | -H-- | M] () -- C:\Users\Lightning\ntuser.dat.LOG2
[2012.01.19 18:17:41 | 000,065,536 | -HS- | M] () -- C:\Users\Lightning\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf
[2012.01.19 18:17:41 | 000,524,288 | -HS- | M] () -- C:\Users\Lightning\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms
[2011.03.06 18:38:32 | 000,524,288 | -HS- | M] () -- C:\Users\Lightning\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms
[2011.03.06 18:21:53 | 000,000,020 | -HS- | M] () -- C:\Users\Lightning\ntuser.ini
[2011.12.30 13:21:15 | 024,731,648 | ---- | M] () -- C:\Users\Lightning\SNSD_Kalender.mdb
[2011.12.30 13:21:11 | 024,731,648 | ---- | M] () -- C:\Users\Lightning\SNSD_Kalender_2012.mdb
 
< %USERPROFILE%\Local Settings\Temp\*.exe >
 
< %USERPROFILE%\Local Settings\Temp\*.dll >
 
< %USERPROFILE%\Application Data\*.exe >
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\Windows\$NtUninstallKB26616$] -> Error: Cannot create file handle -> Unknown point type

< End of report >
--- --- ---


Extra:
OTL Logfile:
Code:
OTL Extras logfile created on: 19.01.2012 18:24:22 - Run 1
OTL by OldTimer - Version 3.2.31.0    Folder = C:\Users\Lightning\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000c07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,63 Gb Available Physical Memory | 81,63% Memory free
4,23 Gb Paging File | 4,01 Gb Available in Paging File | 94,92% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 445,76 Gb Total Space | 76,73 Gb Free Space | 17,21% Space Free | Partition Type: NTFS
Drive D: | 19,99 Gb Total Space | 12,00 Gb Free Space | 60,02% Space Free | Partition Type: FAT32
Unable to calculate disk information.
Drive I: | 1,86 Gb Total Space | 1,82 Gb Free Space | 98,02% Space Free | Partition Type: FAT
 
Computer Name: LIGHTNING-PC | User Name: Lightning | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.exe [@ = ymcu] -- C:\Users\Lightning\AppData\Local\vtb.exe (?????????? ??????????)
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-569007828-2783604596-3427389092-1000]
"EnableNotifications" = 0
"EnableNotificationsRef" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{66BF70C8-871F-4AFA-ACAE-91C7631F1BE0}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) |
"{C6E2818A-52DC-4462-8479-6B6B6CFD43E4}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) |
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{07D030D2-526E-427C-B0BA-97BA1E8C3832}" = protocol=17 | dir=in | app=c:\program files\samsung\pc auto backup\wiselinkpro.exe |
"{169F096C-2CFF-4ED4-BE1B-FEB2E0390DDA}" = protocol=17 | dir=in | app=c:\users\lightning\starcraft ii\versions\base18574\sc2.exe |
"{20EEFE59-DE90-48E1-BA8C-C545E31DF1B8}" = protocol=17 | dir=in | app=c:\users\lightning\starcraft ii\starcraft ii.exe |
"{3E8D568D-417F-492E-8786-8F26C931C76D}" = protocol=6 | dir=in | app=c:\users\lightning\starcraft ii\starcraft ii.exe |
"{3EBA36CD-9F3C-457C-9769-B3516F1DFC50}" = protocol=6 | dir=in | app=c:\users\lightning\starcraft ii\versions\base19132\sc2.exe |
"{523EB09D-AAB6-4D0F-921E-0501CA867555}" = dir=in | app=c:\program files\windows live\contacts\wlcomm.exe |
"{54248463-A7C4-494A-8499-4735BECD389D}" = protocol=17 | dir=in | app=c:\program files\ptc\productview express\i486_nt\obj\productview.exe |
"{59CCCFF5-D496-43BE-8227-D9FD8811E512}" = protocol=17 | dir=in | app=c:\users\lightning\appdata\roaming\dropbox\bin\dropbox.exe |
"{64E19E67-BF9F-453B-B2D2-D7F96D93C655}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{6C9222B9-D3AF-4A76-9B8D-F62EADC3CF42}" = protocol=17 | dir=in | app=c:\users\lightning\starcraft ii\versions\base19132\sc2.exe |
"{767A7BE1-CF36-4325-BAAF-22A6BE326528}" = protocol=6 | dir=in | app=c:\program files\samsung\pc auto backup\http_ss_win_pro.exe |
"{9314AC7B-9861-4A2F-98C4-6BF4C3BDCB01}" = protocol=6 | dir=in | app=c:\users\lightning\appdata\roaming\dropbox\bin\dropbox.exe |
"{9EF8CAFC-0A2C-4FB0-974D-97DE1825DC17}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{A21353F1-45A9-43DB-8732-C05C67682EB3}" = protocol=17 | dir=in | app=c:\program files\samsung\pc auto backup\http_ss_win_pro.exe |
"{B0B53259-3E33-46C1-AB1D-F4B6D92D9CA8}" = dir=in | app=c:\program files\common files\apple\apple application support\webkit2webprocess.exe |
"{B62543DA-9083-4A7C-8571-207495626210}" = protocol=6 | dir=in | app=c:\program files\samsung\pc auto backup\wiselinkpro.exe |
"{B93B4BD4-9BAA-4E8B-A7F3-4990A8AD4C81}" = protocol=6 | dir=in | app=c:\users\lightning\starcraft ii\versions\base18574\sc2.exe |
"{DFF1938D-605A-4848-B05B-A9F7C4CED646}" = protocol=6 | dir=in | app=c:\program files\ptc\productview express\i486_nt\obj\productview.exe |
"{EB65DC7D-0004-4F81-939E-BB3798A884F7}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{F8A6FE0E-551B-46DE-BC37-D4A51EFA0781}" = dir=in | app=c:\program files\itunes\itunes.exe |
"TCP Query User{90A35F88-A6F4-4B3D-A529-75F1258A5CA7}C:\program files\samsung\pc auto backup\autobackup.exe" = protocol=6 | dir=in | app=c:\program files\samsung\pc auto backup\autobackup.exe |
"TCP Query User{921BD34C-8348-4BE5-AEB4-5A494A342632}C:\program files\proengineer schools edition\i486_nt\nms\nmsd.exe" = protocol=6 | dir=in | app=c:\program files\proengineer schools edition\i486_nt\nms\nmsd.exe |
"TCP Query User{93253314-3675-4507-BF74-707DA3981A5C}C:\program files\mozilla firefox\plugin-container.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\plugin-container.exe |
"TCP Query User{F78813A7-2DC0-4D1E-BD06-063755F81738}C:\program files\proengineer schools edition\i486_nt\obj\xtop.exe" = protocol=6 | dir=in | app=c:\program files\proengineer schools edition\i486_nt\obj\xtop.exe |
"TCP Query User{FC236AAE-46AE-4EEC-99A1-C8D83E885CA2}C:\program files\proengineer schools edition\i486_nt\obj\pro_comm_msg.exe" = protocol=6 | dir=in | app=c:\program files\proengineer schools edition\i486_nt\obj\pro_comm_msg.exe |
"UDP Query User{12FD26CE-0694-4DC1-9FAB-1AAF994A2B3C}C:\program files\proengineer schools edition\i486_nt\nms\nmsd.exe" = protocol=17 | dir=in | app=c:\program files\proengineer schools edition\i486_nt\nms\nmsd.exe |
"UDP Query User{A64E8EBD-8341-496E-9E6D-2A54918600FF}C:\program files\mozilla firefox\plugin-container.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\plugin-container.exe |
"UDP Query User{D2A200A9-CA47-4C68-9121-DAB703165FAB}C:\program files\proengineer schools edition\i486_nt\obj\pro_comm_msg.exe" = protocol=17 | dir=in | app=c:\program files\proengineer schools edition\i486_nt\obj\pro_comm_msg.exe |
"UDP Query User{D91E2C59-AD5B-4EFF-BCDA-AFEF6ECEC132}C:\program files\proengineer schools edition\i486_nt\obj\xtop.exe" = protocol=17 | dir=in | app=c:\program files\proengineer schools edition\i486_nt\obj\xtop.exe |
"UDP Query User{E8ED6C8A-1214-409B-97F2-58DBC86A1F7E}C:\program files\samsung\pc auto backup\autobackup.exe" = protocol=17 | dir=in | app=c:\program files\samsung\pc auto backup\autobackup.exe |
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0420F95C-11FF-4E02-B967-6CC22B188F9F}" = Nero BackItUp
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{0D2E9DCB-9938-475E-B4DD-8851738852FF}" = AIO_Scan
"{1746EA69-DCB6-4408-B5A5-E75F55439CDF}" = Scan
"{179C56A4-F57F-4561-8BBF-F911D26EB435}" = WebReg
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{27678F85-7234-4CEB-B84D-2C44E9C4B18E}" = Wireless Client Manager
"{282E5AB2-8E47-4571-B6FA-6B512555B557}" = HP Photosmart.All-In-One Driver Software 8.0 .A
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{343666E2-A059-48AC-AD67-230BF74E2DB2}" = Apple Application Support
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{397516AE-7DFE-4F90-84E0-BD616D559434}" = Nero BurnRights
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{3F26B93A-E8B5-4AFC-84DB-4CCAD8A9A808}" = Instant USB Camera
"{44F5A980-8A6B-4aca-8D85-EFCE5D67D379}" = AIO_CDA_ProductContext
"{49F2B650-2D7B-4F59-B33D-346F63776BD3}" = DocProc
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4BD5B5D2-406D-4bc5-BB10-2F0D1D367C95}" = c6100_Help
"{51E2F9B3-A972-4F58-B4EF-4D9676D9F5D1}" = Nero RescueAgent
"{520C1D80-935C-42B9-9340-E883849D804F}_is1" = DriverTuner 3.1.0.0
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{5DD4FCBD-A3C1-4155-9E17-4161C70AAABA}" = Segoe UI
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6635B372-E2C5-4C2F-97FB-D1766E017CEE}" = MAGIX Screenshare
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{67D3F1A0-A1F2-49b7-B9EE-011277B170CD}" = HPProductAssistant
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6A6E8061-E1E6-4556-9780-29C85C794E02}" = Final Fantasy XI Theme Installer
"{6ABA1658-6429-4D01-875C-0EA6EE851AD1}" = Drivers
"{6C3CF7AC-5AB0-42D9-93C0-68166A57AFB6}" = Nero Express
"{6C5F8503-55D2-4398-858C-362B7A7AF51C}" = Firebird SQL Server - MAGIX Edition
"{6D316D67-DA52-4659-9C98-F479963534D6}" = Audiosurf
"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{779DECD7-E072-4B56-9B6B-BEB5973EEEB5}" = MobileMe Control Panel
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7A7DC702-DEDE-42A8-8722-B3BA724D546F}" = Fax
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{8C6027FD-53DC-446D-BB75-CACD7028A134}" = HP Update
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{95D08F4E-DFC2-4ce3-ACB7-8C8E206217E9}" = MarketResearch
"{978C25EE-5777-46e4-8988-732C297CBDBD}" = Status
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B1FD9CE-0776-4f0b-A6F5-C6AB7B650CDF}" = Destinations
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A36CD345-625C-4d6c-B3E2-76E1248CB451}" = SolutionCenter
"{A3B7C670-4A1E-4EE2-950E-C875BC1965D0}" = Copy
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X (10.0.1) - Deutsch
"{AF1C9345-B53D-4110-BFBF-A0DD83AEAB83}" = AIO_CDA_Software
"{B04D7083-F906-4369-9AA5-DFCC98A05CD9}" = MAGIX Video deluxe MX Download-Version
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 275.33
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 275.33
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.3.5
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B7DBF6E8-0D17-4BE4-853B-ACD6EFBD4A1F}" = iTunes
"{B93DCF58-AA57-41EC-8D69-B05C66C6312D}_is1" = SUPER © v2011.build.48 (April 23, 2011) Version v2011.build.48
"{BE77A81F-B315-4666-9BF3-AE70C0ADB057}" = BufferChm
"{BFD631C4-FBB5-4AC5-B807-9137B265628C}" = MAGIX Speed burnR (MSI)
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C6150D8A-86ED-41D3-87BB-F3BB51B0B77F}" = Windows Live ID Sign-in Assistant
"{C716522C-3731-4667-8579-40B098294500}" = Toolbox
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{D24DB8B9-BB6C-4334-9619-BA1C650E13D3}" = Microsoft Primary Interoperability Assemblies 2005
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{E06F04B9-45E6-4AC0-8083-85F7515F40F7}" = UnloadSupport
"{E08CC458-41FB-4BB5-9B08-2C83DB55A5B9}" = Nero BackItUp and Burn
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{EB21A812-671B-4D08-B974-2A347F0D8F70}" = HP Photosmart Essential
"{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}" = HPSSupply
"{EDEFC3A2-350F-45F1-AC8E-2B3A2D352235}" = ProductView Express 9.1
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{FAA9B753-45CE-4581-876C-55D97939B631}" = C6100
"{FF075778-6E50-47ed-991D-3B07FD4E3250}" = TrayApp
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Audacity_is1" = Audacity 1.2.6
"Avidemux 2.5" = Avidemux 2.5 (32-bit)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Crossrider" = Crossrider Web Apps
"Daum Screensaver High" = Daum ½ºÅ©¸°¼¼À̹ö °íÈ*Áú¹öÀü
"DealPly" = DealPly
"DivX Setup.divx.com" = DivX-Setup
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"facemoods" = Facemoods Toolbar
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free Video Dub_is1" = Free Video Dub version 1.8.12.804
"Free YouTube Download 3_is1" = Free YouTube Download 3 version 3.0.5.712
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.5.722
"HP Imaging Device Functions" = HP Imaging Device Functions 8.0
"HP Solution Center & Imaging Support Tools" = HP Solution Center 8.0
"HPExtendedCapabilities" = HP Customer Participation Program 8.0
"HPOCR" = HP OCR Software 8.0
"Kalender" = TKexe
"LastFM_is1" = Last.fm 1.5.4.27091
"MAGIX_MSI_Videodeluxe18" = MAGIX Video deluxe MX Download-Version
"Mario Forever" = Mario Forever 4.0
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 9.0.1 (x86 de)" = Mozilla Firefox 9.0.1 (x86 de)
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"Pro/ENGINEER Schools Edition Release Wildfire 5.0 Datecode M040" = Pro/ENGINEER Schools Edition Release Wildfire 5.0 Datecode M040
"StarCraft II" = StarCraft II
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"UltraStar Deluxe" = UltraStar Deluxe
"UltraStar Deluxe CMD Edition" = UltraStar Deluxe CMD Edition
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.1.7
"WinLiveSuite" = Windows Live Essentials
"WinRAR archiver" = WinRAR 4.00 (32-Bit)
"X10Hardware" = X10 Hardware(TM)
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
"Octoshape Streaming Services" = Octoshape Streaming Services
"PhotoFiltre" = PhotoFiltre
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 26.12.2011 06:30:55 | Computer Name = Lightning-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung AppleSyncNotifier.exe, Version 1.6.74.0, Zeitstempel
 0x4d9fafaa, fehlerhaftes Modul unknown, Version 0.0.0.0, Zeitstempel 0x00000000,
 Ausnahmecode 0xc0000005, Fehleroffset 0x6e2853f0,  Prozess-ID 0xb94, Anwendungsstartzeit
 01ccc3b971498bff.
 
Error - 28.12.2011 09:56:17 | Computer Name = Lightning-PC | Source = Bonjour Service | ID = 100
Description = mDNSCoreReceiveResponse: Received from 10.0.0.12:5353  21 12.0.0.10.in-addr.arpa.
 PTR Manuel-IPhone.local.
 
Error - 28.12.2011 09:56:17 | Computer Name = Lightning-PC | Source = Bonjour Service | ID = 100
Description = mDNSCoreReceiveResponse: Unexpected conflict discarding  20 12.0.0.10.in-addr.arpa.
 PTR Lightning-PC.local.
 
Error - 29.12.2011 16:36:54 | Computer Name = Lightning-PC | Source = Windows Search Service | ID = 3013
Description =
 
Error - 03.01.2012 13:53:33 | Computer Name = Lightning-PC | Source = SignInAssistant | ID = 0
Description =
 
Error - 05.01.2012 08:27:57 | Computer Name = Lightning-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung AppleSyncNotifier.exe, Version 1.6.74.0, Zeitstempel
 0x4d9fafaa, fehlerhaftes Modul unknown, Version 0.0.0.0, Zeitstempel 0x00000000,
 Ausnahmecode 0xc0000005, Fehleroffset 0x743d53f0,  Prozess-ID 0xbd4, Anwendungsstartzeit
 01cccba572d369de.
 
Error - 06.01.2012 15:11:13 | Computer Name = Lightning-PC | Source = Application Hang | ID = 1002
Description = Programm wmplayer.exe, Version 11.0.6002.18311 arbeitet nicht mehr
 mit Windows zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet
 "Lösungen für Probleme" in der Systemsteuerung, um nach weiteren Informationen
über das Problem zu suchen.  Prozess-ID: ac  Anfangszeit: 01cccca6c4f9f8da  Zeitpunkt
der Beendigung: 139
 
Error - 18.01.2012 15:33:15 | Computer Name = Lightning-PC | Source = EventSystem | ID = 4609
Description =
 
Error - 18.01.2012 15:57:18 | Computer Name = Lightning-PC | Source = EventSystem | ID = 4609
Description =
 
Error - 18.01.2012 16:27:29 | Computer Name = Lightning-PC | Source = EventSystem | ID = 4609
Description =
 
[ System Events ]
Error - 19.01.2012 13:21:05 | Computer Name = Lightning-PC | Source = Service Control Manager | ID = 7001
Description =
 
Error - 19.01.2012 13:21:05 | Computer Name = Lightning-PC | Source = Service Control Manager | ID = 7003
Description =
 
Error - 19.01.2012 13:21:05 | Computer Name = Lightning-PC | Source = Service Control Manager | ID = 7003
Description =
 
Error - 19.01.2012 13:21:05 | Computer Name = Lightning-PC | Source = Service Control Manager | ID = 7001
Description =
 
Error - 19.01.2012 13:21:05 | Computer Name = Lightning-PC | Source = Service Control Manager | ID = 7026
Description =
 
Error - 19.01.2012 13:21:05 | Computer Name = Lightning-PC | Source = Service Control Manager | ID = 7001
Description =
 
Error - 19.01.2012 13:21:05 | Computer Name = Lightning-PC | Source = Service Control Manager | ID = 7001
Description =
 
Error - 19.01.2012 13:21:09 | Computer Name = Lightning-PC | Source = Service Control Manager | ID = 7001
Description =
 
Error - 19.01.2012 13:21:09 | Computer Name = Lightning-PC | Source = DCOM | ID = 10005
Description =
 
Error - 19.01.2012 13:21:10 | Computer Name = Lightning-PC | Source = Service Control Manager | ID = 7001
Description =
 
 
< End of report >
--- --- ---

markusg 20.01.2012 13:12
hi
wieder im abges. modus arbeiten


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
PRC - [2012.01.17 19:57:27 | 000,328,192 | ---- | M] (Корпорация Майкрософт) -- C:\Users\Lightning\AppData\Local\vtb.exe
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
[2012.01.19 18:21:04 | 000,009,205 | ---- | M] () -- C:\ProgramData\84e2a78c
[2012.01.19 18:21:04 | 000,009,147 | ---- | M] () -- C:\Users\Lightning\AppData\Roaming\accef828
[2012.01.19 18:21:04 | 000,009,053 | ---- | M] () -- C:\Users\Lightning\AppData\Local\70b91e30
 :Files
C:\Users\Lightning\AppData\Local\vtb.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Lightning13 22.01.2012 12:09
großen dank für deine hilfe :)

ich habe alle schritte so wie beschrieben ausgeführt und hier ist jene textdatei die ich nach dem neustart meines PCs und der otl.exe bekommen habe:

Zitat:
All processes killed
========== OTL ==========
No active process named vtb.exe was found!
Prefs.js: "Facemoods Search" removed from browser.search.defaultenginename
C:\ProgramData\84e2a78c moved successfully.
C:\Users\Lightning\AppData\Roaming\accef828 moved successfully.
C:\Users\Lightning\AppData\Local\70b91e30 moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Lightning
->Flash cache emptied: 104509 bytes

User: Public

User: UpdatusUser

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Lightning
->Temp folder emptied: 3665401486 bytes
->Temporary Internet Files folder emptied: 212408426 bytes
->Java cache emptied: 4673 bytes
->FireFox cache emptied: 49240614 bytes
->Flash cache emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 53178590 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 3.796,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 01222012_114937

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
der upload des zip-ordners hat geklappt.
lg Lightning

markusg 22.01.2012 17:30
hi, und danke für den upload.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

markusg 22.01.2012 17:58
hi, du hast doch keine zip datei hochgeladen sondern ein log, mach das bitte noch mal.

Lightning13 22.01.2012 22:58
Ich habe die MovedFiles.zip datei erneut hochgeladen.

Ich habe auch die ComboFix.exe heruntergeladen und gestartet, habe auch alles so gemacht wie im Tutorium beschrieben durchgeführt, bis auf den punkt mit der antivirensoftware, weil ich habe ja nur antivir und die hab ich sicher deaktiviert und combofix hat sich trotzdem noch beschwert. jedenfalls is der durchgang fertig und er hat zwischendurch einml neugestartet und einmal zum schluss, er meinte auch er habe was gefunden "Rootkit.ZeroAccess!".

Der Virus scheint nun entfernt worden zu sein, aber das öffnen von .exe dateien funktioniert nicht, ich bekomme die meldung:"Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen der zum Löschen markiert wurde."

hier die log datei von combo.fix

Zitat:
Combofix Logfile:
Code:
ComboFix 12-01-21.02 - Lightning 22.01.2012  22:27:35.1.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.43.1031.18.2045.1446 [GMT 1:00]
ausgeführt von:: c:\users\Lightning\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\facemoods.com
c:\program files\facemoods.com\facemoods\1.4.17.10\bh\facemoods.dll
c:\program files\facemoods.com\facemoods\1.4.17.10\facemoods.crx
c:\program files\facemoods.com\facemoods\1.4.17.10\facemoods.png
c:\program files\facemoods.com\facemoods\1.4.17.10\facemoodsApp.dll
c:\program files\facemoods.com\facemoods\1.4.17.10\facemoodsEng.dll
c:\program files\facemoods.com\facemoods\1.4.17.10\facemoodssrv.exe
c:\program files\facemoods.com\facemoods\1.4.17.10\facemoodsTlbr.dll
c:\program files\facemoods.com\facemoods\1.4.17.10\uninstall.exe
c:\windows\$NtUninstallKB26616$
c:\windows\$NtUninstallKB26616$\1410946208
c:\windows\$NtUninstallKB26616$\888558350\@
c:\windows\$NtUninstallKB26616$\888558350\bckfg.tmp
c:\windows\$NtUninstallKB26616$\888558350\cfg.ini
c:\windows\$NtUninstallKB26616$\888558350\Desktop.ini
c:\windows\$NtUninstallKB26616$\888558350\kwrd.dll
c:\windows\$NtUninstallKB26616$\888558350\L\qnbwvoto
c:\windows\$NtUninstallKB26616$\888558350\U\00000001.@
c:\windows\$NtUninstallKB26616$\888558350\U\00000002.@
c:\windows\$NtUninstallKB26616$\888558350\U\00000004.@
c:\windows\$NtUninstallKB26616$\888558350\U\80000000.@
c:\windows\$NtUninstallKB26616$\888558350\U\80000004.@
c:\windows\$NtUninstallKB26616$\888558350\U\80000032.@
c:\windows\system32\wbem\Performance\WmiApRpl_new.ini
.
c:\windows\system32\drivers\tdx.sys fehlte
Kopie von - c:\windows\SoftwareDistribution\Download\bcfed137e95e2bc1b83ef80262a82b16\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.0.6002.18005_none_ec294157d9377403\tdx.sys wurde wiederhergestellt
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-12-22 bis 2012-01-22  ))))))))))))))))))))))))))))))
.
.
2012-01-22 21:35 . 2012-01-22 21:37        --------        d-----w-        c:\users\Lightning\AppData\Local\temp
2012-01-22 10:49 . 2012-01-22 10:59        --------        d-----w-        C:\_OTL
2012-01-11 17:10 . 2011-10-14 16:03        189952        ----a-w-        c:\windows\system32\winmm.dll
2012-01-11 17:10 . 2011-10-14 16:00        23552        ----a-w-        c:\windows\system32\mciseq.dll
2012-01-11 17:10 . 2011-11-18 20:23        1205064        ----a-w-        c:\windows\system32\ntdll.dll
2012-01-11 17:10 . 2011-11-18 17:47        66560        ----a-w-        c:\windows\system32\packager.dll
2012-01-11 17:10 . 2011-10-25 15:58        1314816        ----a-w-        c:\windows\system32\quartz.dll
2012-01-11 17:10 . 2011-10-25 15:58        497152        ----a-w-        c:\windows\system32\qdvd.dll
2012-01-11 17:10 . 2011-12-01 15:21        2409784        ----a-w-        c:\program files\Windows Mail\OESpamFilter.dat
2012-01-11 17:10 . 2011-11-25 15:59        376320        ----a-w-        c:\windows\system32\winsrv.dll
2012-01-07 20:43 . 2012-01-07 20:43        43992        ----a-w-        c:\program files\Mozilla Firefox\mozutils.dll
2012-01-07 20:43 . 2012-01-07 20:43        626688        ----a-w-        c:\program files\Mozilla Firefox\msvcr80.dll
2012-01-07 20:43 . 2012-01-07 20:43        548864        ----a-w-        c:\program files\Mozilla Firefox\msvcp80.dll
2012-01-07 20:43 . 2012-01-07 20:43        479232        ----a-w-        c:\program files\Mozilla Firefox\msvcm80.dll
2011-12-30 11:29 . 2011-12-30 11:29        --------        d-----w-        c:\programdata\WEBREG
2011-12-30 11:16 . 2011-12-30 11:16        --------        d-----w-        c:\users\Lightning\AppData\Roaming\HP
2011-12-30 11:12 . 2011-12-30 11:12        --------        d-----w-        c:\program files\Hewlett-Packard
2011-12-30 11:12 . 2011-12-30 11:12        --------        d-----w-        c:\program files\Common Files\Hewlett-Packard
2011-12-30 11:12 . 2011-12-30 11:15        --------        d-----w-        c:\program files\Common Files\HP
2011-12-30 11:10 . 2011-12-30 11:10        --------        d-----w-        c:\programdata\Hewlett-Packard
2011-12-30 11:10 . 2007-02-02 10:26        273920        ----a-w-        c:\windows\system32\Spool\prtprocs\w32x86\hpzpp4v2.dll
2011-12-30 11:08 . 2007-02-02 10:27        117760        ----a-w-        c:\windows\system32\hpz3l4v2.dll
2011-12-30 11:08 . 2005-06-20 13:33        94208        ----a-w-        c:\windows\system32\HPJIPX1U.DLL
2011-12-30 11:08 . 2005-06-20 13:33        163840        ----a-w-        c:\windows\system32\HPJCMN2U.DLL
2011-12-30 11:08 . 2006-11-16 18:16        7680        ----a-w-        c:\windows\system32\HPBPROPS.DLL
2011-12-30 11:08 . 2006-11-16 18:16        24576        ----a-w-        c:\windows\system32\HPBMIAPI.DLL
2011-12-30 11:08 . 2006-11-16 18:16        38912        ----a-w-        c:\windows\system32\HPBPRO.DLL
2011-12-30 11:08 . 2006-11-16 18:16        7680        ----a-w-        c:\windows\system32\HPBOIDPS.DLL
2011-12-30 11:08 . 2006-11-16 18:15        25600        ----a-w-        c:\windows\system32\HPBOID.DLL
2011-12-30 11:08 . 2006-06-06 13:20        241721        ----a-w-        c:\windows\system32\HPBMINI.DLL
2011-12-30 11:08 . 2005-06-20 13:33        49152        ----a-w-        c:\windows\system32\HPBNRAC2.DLL
2011-12-30 11:08 . 2011-12-30 11:15        --------        d-----w-        c:\program files\HP
2011-12-30 11:06 . 2011-12-30 11:13        --------        d-----w-        c:\programdata\HP
2011-12-30 11:06 . 2007-02-01 08:24        258048        ----a-w-        c:\windows\system32\hpzids01.dll
2011-12-30 10:51 . 2011-12-30 10:51        --------        d-----w-        c:\program files\DriverTuner
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-02 17:56 . 2011-07-23 15:15        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-23 13:37 . 2011-12-14 17:23        2043904        ----a-w-        c:\windows\system32\win32k.sys
2011-11-08 14:42 . 2011-12-14 17:23        2048        ----a-w-        c:\windows\system32\tzres.dll
2011-11-03 22:47 . 2011-12-15 17:12        1798144        ----a-w-        c:\windows\system32\jscript9.dll
2011-11-03 22:40 . 2011-12-15 17:12        1427456        ----a-w-        c:\windows\system32\inetcpl.cpl
2011-11-03 22:39 . 2011-12-15 17:12        1127424        ----a-w-        c:\windows\system32\wininet.dll
2011-11-03 22:31 . 2011-12-15 17:12        2382848        ----a-w-        c:\windows\system32\mshtml.tlb
2011-10-27 08:01 . 2011-12-14 17:23        3602816        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2011-10-27 08:01 . 2011-12-14 17:23        3550080        ----a-w-        c:\windows\system32\ntoskrnl.exe
2011-10-25 15:56 . 2011-12-14 17:23        49152        ----a-w-        c:\windows\system32\csrsrv.dll
2012-01-07 20:43 . 2011-03-27 10:58        121816        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06        163328        --sha-r-        c:\windows\System32\flvDX.dll
2007-02-21 10:47        31232        --sha-r-        c:\windows\System32\msfDX.dll
2008-03-16 12:30        216064        --sha-r-        c:\windows\System32\nbDX.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\users\Lightning\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\users\Lightning\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\users\Lightning\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\users\Lightning\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CrossRiderPlugin"="c:\program files\CrossriderWebApps\Crossrider.exe" [2011-05-15 478720]
"Octoshape Streaming Services"="c:\users\Lightning\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-07-29 17361032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"NBAgent"="c:\program files\Nero\Nero BackItUp & Burn\Nero BackItUp\NBAgent.exe" [2010-03-14 1086760]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"TrayServer"="c:\program files\MAGIX\Video_deluxe_MX_Download-Version\TrayServer_de.exe" [2008-08-07 90112]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-12-08 421736]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
.
c:\users\Lightning\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Lightning\AppData\Roaming\Dropbox\bin\Dropbox.exe [2011-12-5 24242056]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Wireless Client Manager.lnk - c:\program files\Wireless\Client Manager\CMAGS.EXE [2011-3-7 339968]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-569007828-2783604596-3427389092-1000]
"EnableNotificationsRef"=dword:00000002
.
S3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-08-22 1242976]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.startskins.com/startpage/1424984876/
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\users\Lightning\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\Lightning\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 10.0.0.138 10.0.0.138
FF - ProfilePath - c:\users\Lightning\AppData\Roaming\Mozilla\Firefox\Profiles\jzyjctaa.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://snsdkorean.com/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-facemoods - c:\program files\facemoods.com\facemoods\1.4.17.10\facemoodssrv.exe
AddRemove-facemoods - c:\program files\facemoods.com\facemoods\1.4.17.10\uninstall.exe
AddRemove-Kalender - c:\windows\Uninstall_tkexe -kalender
AddRemove-Uninstall_is1 - c:\program files\Common Files\DVDVideoSoft\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-22 22:38
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(1340)
c:\users\Lightning\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Spybot - Search & Destroy\SDWinSec.exe
c:\windows\system32\WUDFHost.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe
c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-01-22  22:43:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-01-22 21:43
.
Vor Suchlauf: 11 Verzeichnis(se), 83.069.079.552 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 83.724.591.104 Bytes frei
.
- - End Of File - - ACCFEC9D101AF8E6C9C80AE72587C29A
--- --- ---

markusg 23.01.2012 12:33
hi, nutzt du das system für onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches?

Lightning13 23.01.2012 17:54
hi !

oje, das hört sich ja gar nicht gut an...muss ich das system neu aufsetzen ? habe ich was falsch gemacht ?

hmm nein nichts derart wichtiges, ab und zu bestell ich mal was auf amazon oder kauf was auf iTunes, aber ansonsten passieren keine geldtransfers bzw etwas berufliches.
die wichtigen dateien spiel ich mir dann einfach euf ne externe festplatte.

markusg 23.01.2012 17:55
ja, wenn du ab und zu bestellst musst du neu aufsetzen.
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Lightning13 23.01.2012 20:08
punkt 1 ist mit klar, autorun ist aus und die daten auf der externen.

bei punkt 2 bin ich mir nicht sicher: Ich habe meinen pc schonmal mithilfe der recovery disc neu aufgesetzt bzw windows neu installiert, hab damals aber nichts formatiert. ich habe auch ne eigene partition (D:) die dafür gedacht ist, denke ich. also dort sind 11,9 gb von 19,9 gb verwendet und ich denke diese ist auch dafür gedacht da dort ordner sind, die "recover" und "drivers" heißen. ich hatte auch mal vor ein paar monaten meine externe festplatte auf NFTS formatiert und dort mithilfe der software "Nero BackItUp" mal ne laufwerkssicherung gemacht, ich weiß nur nicht ob die jetzt etwas bringt oder ob du mir diese software für später empfehlen kannst.
ansonsten kannst dur mir das formatieren erklären bzw einen link posten bzw den nutzen des formatieren kurz erklären ?
zum PC: ist ein fertig-modell: MEDION "MD 8828"

danke dir ! lg Lightning13 :)

markusg 23.01.2012 20:12
hi, mache es über die recovery cd.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html

folge dort den anweisungen der recovery cd.
dann:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware

und du kannst vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/
anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Lightning13 23.01.2012 20:28
Danke für die schnelle Antwort !

zunächst eine frage: durch den einsatz der recovery disc muss ich nichts mehr formatieren ?

ich werde avast als antivirenprogramm verwenden.

und als browser würde ich sehr gerne mit dem mozilla firefox arbeiten.

markusg 23.01.2012 21:16
hi,
sollte automatisch gehen
da du bestellst hast du ja sensible daten zu chützen, ich würde persönlich die 20 € in emsisoft investieren, bringt einfach noch mal besseren schutz.
natürlich gebe ich dir auch ne anleitung für avast :-)
hast du den chrome schon mal ausprobiert, in sachen sicherheit ist er vor dem ff, und sollte auch schneller laufen.

Lightning13 26.01.2012 19:29
hi !

habe die meisten punkte bereits abgearbeitet :)

jedoch habe ich noch ein paar fragen:

1. ich habe mich nun für google crome entschieden (da ich gesehen habe, dass ich die lesezeichen etc. auf chrome von ff übertragen kann) und bei deinem link für maßnahmen sind nur tipps für ff und opera vorhanden, jedoch nicht für chrome und da wollte ich eben fragen welche einstellungen bzw addons sind sinnvoll für das sichere und bequeme surfen ?^^

2. da ich als student nicht so viel geld besitze und ich ende diesen jahres mir einen neuen rechner kaufen werde, habe ich mich für die kostenfreie variante von avast entschieden und wollte dich da eben über die optimalen konfiguration befragen^^ (emsisoft kostet doch 40 euro im jahr ? oder habe ich mich da versehen ?)

3. die beiden update checker soll ich ja im autostart lassen, meine frage dazu: verlangsamt dies mein system nicht erheblich ? (ich habe sie noch nicht heruntergeladen)

markusg 26.01.2012 19:54
hi,
1.
adblock:
https://chrome.google.com/webstore/d...namgkkbiglidom
weitere tipps:
Sicher surfen mit Google Chrome | Verbraucher sicher online
2. emsisoft hätte es auch günstig für schüler und studenten gegeben für 15 €:
Emsisoft Anti-Malware Schulversion Online Kaufen
wenn es avast sein soll:
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

danach diese pdf durcharbeiten:
http://forum.avadas.de/download/inst...on_avast_6.pdf
heuristik bzw wirkungsgrad überall auf maximum, update alle 2 stunden, rest wie in pdf
3. welchen sinn hätte es wenn ich dir software vorschlüge die das system extrem verlangsamt? :-)
bitte bearbeite aber, wie auch in der anleitung gesagt, den autostart so, das nur das wichtigste startet, das ist sandboxie, secunia, file hippo, avast und evtl. paragon, den rest kann man bei bedarf starten.
bei file hippo und secunia ist zu beachten, sie bieten englische updates, bei programmen wie readern, browsern, also überall wo du auf die nutzeroberfläche zugreifst, benötigst du deutsche updates, deswegen solche seiten in die chrome lesezeichen, und wenn updates angeboten werden, direkt beim hersteller laden, bei java, flash etc ist es egal, ob die updates deutsch oder englisch sind


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131