Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Atraps.Gen2 - Infektion (https://www.trojaner-board.de/125309-tr-atraps-gen2-infektion.html)

fvr1234 07.10.2012 15:13
TR/Atraps.Gen2 - Infektion
 
Hallo,

auch ich habe mir den TR/Atraps.Gen2 eingefangen.

Die Report-Datei ist weiter unten, ebenfalls den Vollständigen Scan

Im Anschluss noch den Malware-Bytes-vollständiger Scan

Vielen Dank für Support!

Fehler Report Antivir

Code:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 7. Oktober 2012  12:38


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : INTERNET

Versionsinformationen:
BUILD.DAT      : 13.0.0.2688    48279 Bytes  28.09.2012 10:06:00
AVSCAN.EXE    : 13.4.0.190    625440 Bytes  26.09.2012 13:58:14
AVSCANRC.DLL  : 13.4.0.163    64800 Bytes  19.09.2012 17:20:53
LUKE.DLL      : 13.4.0.184    66848 Bytes  25.09.2012 09:00:15
AVSCPLR.DLL    : 13.4.0.190    93984 Bytes  26.09.2012 13:58:22
AVREG.DLL      : 13.4.0.180    245536 Bytes  24.09.2012 11:05:45
avlode.dll    : 13.4.0.202    419616 Bytes  05.10.2012 16:50:25
avlode.rdf    : 13.0.0.24      7196 Bytes  27.09.2012 09:30:38
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF  : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF  : 7.11.41.251    2048 Bytes  06.09.2012 13:42:40
VBASE008.VDF  : 7.11.41.252    2048 Bytes  06.09.2012 13:42:40
VBASE009.VDF  : 7.11.41.253    2048 Bytes  06.09.2012 13:42:40
VBASE010.VDF  : 7.11.41.254    2048 Bytes  06.09.2012 13:42:40
VBASE011.VDF  : 7.11.41.255    2048 Bytes  06.09.2012 13:42:40
VBASE012.VDF  : 7.11.42.0      2048 Bytes  06.09.2012 13:42:40
VBASE013.VDF  : 7.11.42.1      2048 Bytes  06.09.2012 13:42:40
VBASE014.VDF  : 7.11.42.65    203264 Bytes  09.09.2012 13:42:40
VBASE015.VDF  : 7.11.42.125  156672 Bytes  11.09.2012 13:42:40
VBASE016.VDF  : 7.11.42.171  187904 Bytes  12.09.2012 13:42:40
VBASE017.VDF  : 7.11.42.235  141312 Bytes  13.09.2012 13:42:40
VBASE018.VDF  : 7.11.43.35    133632 Bytes  15.09.2012 13:42:40
VBASE019.VDF  : 7.11.43.89    129024 Bytes  18.09.2012 13:42:40
VBASE020.VDF  : 7.11.43.141  130560 Bytes  19.09.2012 17:02:38
VBASE021.VDF  : 7.11.43.187  121856 Bytes  21.09.2012 07:40:42
VBASE022.VDF  : 7.11.43.251  147456 Bytes  24.09.2012 08:56:45
VBASE023.VDF  : 7.11.44.43    152064 Bytes  25.09.2012 08:31:00
VBASE024.VDF  : 7.11.44.103  165888 Bytes  27.09.2012 12:16:14
VBASE025.VDF  : 7.11.44.167  160256 Bytes  30.09.2012 16:50:12
VBASE026.VDF  : 7.11.44.223  199680 Bytes  02.10.2012 16:50:13
VBASE027.VDF  : 7.11.45.29    196096 Bytes  04.10.2012 16:50:13
VBASE028.VDF  : 7.11.45.30      2048 Bytes  04.10.2012 16:50:13
VBASE029.VDF  : 7.11.45.31      2048 Bytes  04.10.2012 16:50:13
VBASE030.VDF  : 7.11.45.32      2048 Bytes  04.10.2012 16:50:13
VBASE031.VDF  : 7.11.45.58    66560 Bytes  05.10.2012 16:50:13
Engineversion  : 8.2.10.182
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL  : 8.1.4.60      463227 Bytes  05.10.2012 16:50:23
AESCN.DLL      : 8.1.9.2      131444 Bytes  26.09.2012 13:54:07
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.1.9.15      639348 Bytes  27.08.2012 13:50:15
AEPACK.DLL    : 8.3.0.38      811382 Bytes  05.10.2012 16:50:23
AEOFFICE.DLL  : 8.1.2.48      201082 Bytes  24.09.2012 13:06:59
AEHEUR.DLL    : 8.1.4.114    5353847 Bytes  05.10.2012 16:50:21
AEHELP.DLL    : 8.1.25.0      258423 Bytes  05.10.2012 16:50:15
AEGEN.DLL      : 8.1.5.38      434548 Bytes  26.09.2012 13:54:07
AEEXP.DLL      : 8.2.0.4      115060 Bytes  05.10.2012 16:50:24
AEEMU.DLL      : 8.1.3.2      393587 Bytes  19.09.2012 13:42:55
AECORE.DLL    : 8.1.28.2      201079 Bytes  26.09.2012 13:54:07
AEBB.DLL      : 8.1.1.0        53618 Bytes  27.08.2012 13:50:12
AVWINLL.DLL    : 13.4.0.163    25888 Bytes  19.09.2012 17:09:30
AVPREF.DLL    : 13.4.0.163    50464 Bytes  19.09.2012 17:07:51
AVREP.DLL      : 13.4.0.163    177952 Bytes  19.09.2012 17:08:15
AVARKT.DLL    : 13.4.0.184    260384 Bytes  25.09.2012 08:51:51
AVEVTLOG.DLL  : 13.4.0.185    167200 Bytes  25.09.2012 08:52:37
SQLITE3.DLL    : 3.7.0.1      397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL    : 13.4.0.163    62240 Bytes  19.09.2012 17:08:54
NETNT.DLL      : 13.4.0.163    15648 Bytes  19.09.2012 17:16:26
RCIMAGE.DLL    : 13.4.0.163  4780832 Bytes  19.09.2012 17:21:16
RCTEXT.DLL    : 13.4.0.163    68384 Bytes  19.09.2012 17:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_5071541e\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Sonntag, 7. Oktober 2012  12:38

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'dpupdchk.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'DDMService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvXDSync.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\000000cb.@'
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\000000cb.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.A.37
Beginne mit der Suche in 'C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\80000000.@'
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
Beginne mit der Suche in 'C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\n'
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\n
  [FUND]      Ist das Trojanische Pferd TR/ZAccess.EB.17

Beginne mit der Desinfektion:
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\n
  [FUND]      Ist das Trojanische Pferd TR/ZAccess.EB.17
  [WARNUNG]  Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]  Die Datei konnte nicht gelöscht werden!
  [HINWEIS]  Die Datei wurde zum Löschen nach einem Neustart markiert.
  [HINWEIS]  Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1dce8ade.qua' verschoben!
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\000000cb.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.A.37
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bf9c51c.qua' verschoben!


Ende des Suchlaufs: Sonntag, 7. Oktober 2012  12:43
Benötigte Zeit: 00:11 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    508 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    505 Dateien ohne Befall
      0 Archive wurden durchsucht
      1 Warnungen
      3 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.
Vollständiger Scan Antivir

Code:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 7. Oktober 2012  12:46


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus    : Normal gebootet
Benutzername  : von Restorff
Computername  : INTERNET

Versionsinformationen:
BUILD.DAT      : 13.0.0.2693          Bytes  01.10.2012 17:25:00
AVSCAN.EXE    : 13.4.0.200    625952 Bytes  07.10.2012 10:45:18
AVSCANRC.DLL  : 13.4.0.163    64800 Bytes  19.09.2012 17:20:53
LUKE.DLL      : 13.4.0.184    66848 Bytes  25.09.2012 09:00:15
AVSCPLR.DLL    : 13.4.0.190    93984 Bytes  26.09.2012 13:58:22
AVREG.DLL      : 13.4.0.180    245536 Bytes  24.09.2012 11:05:45
avlode.dll    : 13.4.0.202    419616 Bytes  05.10.2012 16:50:25
avlode.rdf    : 13.0.0.24      7196 Bytes  27.09.2012 09:30:38
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF  : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF  : 7.11.41.251    2048 Bytes  06.09.2012 13:42:40
VBASE008.VDF  : 7.11.41.252    2048 Bytes  06.09.2012 13:42:40
VBASE009.VDF  : 7.11.41.253    2048 Bytes  06.09.2012 13:42:40
VBASE010.VDF  : 7.11.41.254    2048 Bytes  06.09.2012 13:42:40
VBASE011.VDF  : 7.11.41.255    2048 Bytes  06.09.2012 13:42:40
VBASE012.VDF  : 7.11.42.0      2048 Bytes  06.09.2012 13:42:40
VBASE013.VDF  : 7.11.42.1      2048 Bytes  06.09.2012 13:42:40
VBASE014.VDF  : 7.11.42.65    203264 Bytes  09.09.2012 13:42:40
VBASE015.VDF  : 7.11.42.125  156672 Bytes  11.09.2012 13:42:40
VBASE016.VDF  : 7.11.42.171  187904 Bytes  12.09.2012 13:42:40
VBASE017.VDF  : 7.11.42.235  141312 Bytes  13.09.2012 13:42:40
VBASE018.VDF  : 7.11.43.35    133632 Bytes  15.09.2012 13:42:40
VBASE019.VDF  : 7.11.43.89    129024 Bytes  18.09.2012 13:42:40
VBASE020.VDF  : 7.11.43.141  130560 Bytes  19.09.2012 17:02:38
VBASE021.VDF  : 7.11.43.187  121856 Bytes  21.09.2012 07:40:42
VBASE022.VDF  : 7.11.43.251  147456 Bytes  24.09.2012 08:56:45
VBASE023.VDF  : 7.11.44.43    152064 Bytes  25.09.2012 08:31:00
VBASE024.VDF  : 7.11.44.103  165888 Bytes  27.09.2012 12:16:14
VBASE025.VDF  : 7.11.44.167  160256 Bytes  30.09.2012 16:50:12
VBASE026.VDF  : 7.11.44.223  199680 Bytes  02.10.2012 16:50:13
VBASE027.VDF  : 7.11.45.29    196096 Bytes  04.10.2012 16:50:13
VBASE028.VDF  : 7.11.45.30      2048 Bytes  04.10.2012 16:50:13
VBASE029.VDF  : 7.11.45.31      2048 Bytes  04.10.2012 16:50:13
VBASE030.VDF  : 7.11.45.32      2048 Bytes  04.10.2012 16:50:13
VBASE031.VDF  : 7.11.45.72    104960 Bytes  06.10.2012 10:45:14
Engineversion  : 8.2.10.182
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL  : 8.1.4.60      463227 Bytes  05.10.2012 16:50:23
AESCN.DLL      : 8.1.9.2      131444 Bytes  26.09.2012 13:54:07
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.1.9.15      639348 Bytes  27.08.2012 13:50:15
AEPACK.DLL    : 8.3.0.38      811382 Bytes  05.10.2012 16:50:23
AEOFFICE.DLL  : 8.1.2.48      201082 Bytes  24.09.2012 13:06:59
AEHEUR.DLL    : 8.1.4.114    5353847 Bytes  05.10.2012 16:50:21
AEHELP.DLL    : 8.1.25.0      258423 Bytes  05.10.2012 16:50:15
AEGEN.DLL      : 8.1.5.38      434548 Bytes  26.09.2012 13:54:07
AEEXP.DLL      : 8.2.0.4      115060 Bytes  05.10.2012 16:50:24
AEEMU.DLL      : 8.1.3.2      393587 Bytes  19.09.2012 13:42:55
AECORE.DLL    : 8.1.28.2      201079 Bytes  26.09.2012 13:54:07
AEBB.DLL      : 8.1.1.0        53618 Bytes  27.08.2012 13:50:12
AVWINLL.DLL    : 13.4.0.163    25888 Bytes  19.09.2012 17:09:30
AVPREF.DLL    : 13.4.0.163    50464 Bytes  19.09.2012 17:07:51
AVREP.DLL      : 13.4.0.163    177952 Bytes  19.09.2012 17:08:15
AVARKT.DLL    : 13.4.0.184    260384 Bytes  25.09.2012 08:51:51
AVEVTLOG.DLL  : 13.4.0.185    167200 Bytes  25.09.2012 08:52:37
SQLITE3.DLL    : 3.7.0.1      397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL    : 13.4.0.163    62240 Bytes  19.09.2012 17:08:54
NETNT.DLL      : 13.4.0.163    15648 Bytes  19.09.2012 17:16:26
RCIMAGE.DLL    : 13.4.0.163  4780832 Bytes  19.09.2012 17:21:16
RCTEXT.DLL    : 13.4.0.163    68384 Bytes  19.09.2012 17:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 7. Oktober 2012  12:46

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Session Manager\PendingFileRenameOperations
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}\DhcpIPAddress
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}\DhcpSubnetMask
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}\DhcpServer
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}\DhcpInterfaceOptions
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-599126093-1068259136-831876493-1000\Software\Avira\AntiVir Desktop\profDataStr
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-599126093-1068259136-831876493-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012091020120917
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '128' Modul(e) wurden durchsucht
Durchsuche Prozess 'dpupdchk.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'DDMService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1470' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Windows\assembly\GAC\Desktop.ini
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

Beginne mit der Desinfektion:
C:\Windows\assembly\GAC\Desktop.ini
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '579ec41d.qua' verschoben!


Ende des Suchlaufs: Sonntag, 7. Oktober 2012  13:51
Benötigte Zeit:  1:04:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  20567 Verzeichnisse wurden überprüft
 433579 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 433578 Dateien ohne Befall
  6766 Archive wurden durchsucht
      0 Warnungen
      8 Hinweise
 397609 Objekte wurden beim Rootkitscan durchsucht
      7 Versteckte Objekte wurden gefunden
Malware-Bytes (vollständiger Scan)

Code:
  Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.07.02

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
von Restorff :: INTERNET [Administrator]

07.10.2012 14:00:54
mbam-log-2012-10-07 (14-00-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330155
Laufzeit: 1 Stunde(n), 16 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-21-599126093-1068259136-831876493-1000\$a3af7ee3cc32202eeb79a26dcf13d70f\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

DerJazzer 07.10.2012 17:53
:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

DerJazzer 07.10.2012 18:28
Hallo und :hallo:

Ich bin Christoph und möchte dir bei deinem Problem helfen.
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting (Posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software außer Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen außer ich fordere Dich dazu auf. Erschwert mir nämlich das Auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein PC clean ist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Befolge bitte die hier geschilderten Anweisungen und poste die geforderten Logfiles.

Bitte poste in deiner nächsten Antwort
  • OTL.txt & Extras.txt
  • Gmer.txt

fvr1234 07.10.2012 20:58
Hallo Christoph,

vielen Dank für Deine rasche Reaktion.
2 Anmerkungen: ich habe den OTL 2x ausgeführt, da ich zunächst einen vollständigen Scan gemacht habe, beim 2. Suchlauf kam keine Extras mehr; daher habe ich die urspr. Extras (Run1), aber den OTL-Quickscan gepostet (deswegen steht hier Run 2).
Weiterhin habe ich diesen Rechner vor einem halben Jahr von einem Freund übernommen, der in die Staaten gezogen ist; daher bitte auch Info, falls irgendwas drauf sein sollte, weswegen Du mir nicht weiterhelfen würdest; von meiner Seite aus gab es hier keinerlei illegale Aktivitäten, ich habe mich nur bisher mit diesem Thema noch nicht beschäftigt (aber jetzt in Euren Regeln gelesen).

VG
(ebenfalls) Christoph :-)

OTL

OTL Logfile:
Code:
OTL logfile created on: 07.10.2012 20:05:37 - Run 2
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\***\Desktop\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,44 Gb Total Physical Memory | 2,36 Gb Available Physical Memory | 68,64% Memory free
7,37 Gb Paging File | 6,16 Gb Available in Paging File | 83,55% Paging File free
Paging file location(s): c:\pagefile.sys 4032 4032 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 596,04 Gb Total Space | 14,20 Gb Free Space | 2,38% Space Free | Partition Type: NTFS
 
Computer Name: INTERNET | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\***\Desktop\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe (Adobe Systems, Inc.)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Microsoft IntelliPoint\ipoint.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft IntelliPoint\dpupdchk.exe (Microsoft Corporation)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC)
PRC - C:\Programme\NVIDIA Corporation\Display\NvXDSync.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Programme\VIA\VIAudioi\VDeck\VDeck.exe (VIA)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\System32\Macromed\Flash\NPSWF32_11_4_402_278.dll ()
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
MOD - C:\Programme\VIA\VIAudioi\VDeck\skin.dll ()
MOD - C:\Programme\IZArc\IZArcCM.dll ()
MOD - C:\Programme\VIA\VIAudioi\VDeck\Dts2ApoApi.dll ()
MOD - C:\Programme\VIA\VIAudioi\VDeck\QsApoApi.dll ()
MOD - C:\Programme\VIA\VIAudioi\VDeck\VMicApi.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (odserv) -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (Stereo Service) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (hwpsgt) -- C:\Windows\System32\drivers\hwpsgt.sys ()
DRV - (lemsgt) -- C:\Windows\System32\drivers\lemsgt.sys ()
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (VIAHdAudAddService) -- C:\Windows\System32\drivers\viahduaa.sys (VIA Technologies, Inc.)
DRV - (fwlanusbn) -- C:\Windows\System32\drivers\fwlanusbn.sys (AVM GmbH)
DRV - (avmeject) -- C:\Windows\System32\drivers\avmeject.sys (AVM Berlin)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 93 B9 86 E0 47 AB CB 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {4CA9DA25-8170-4F5B-8DCF-7245C3B41C8F}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{4CA9DA25-8170-4F5B-8DCF-7245C3B41C8F}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{5FE34295-440B-4E28-B513-A1681BE7AC04}: "URL" = hxxp://de.wikipedia.org/w/index.php?title=Spezial:Suche&search={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.0.900
FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.0.900
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX OVS Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video [2011.01.23 11:10:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa [2011.01.23 11:10:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.09.29 19:18:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.05.13 12:38:50 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.09.29 19:18:07 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.05.13 12:38:50 | 000,000,000 | ---D | M]
 
[2011.01.03 18:34:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\von Restorff\AppData\Roaming\mozilla\Extensions
[2012.05.07 13:56:26 | 000,000,000 | ---D | M] (No name found) -- C:\Users\von Restorff\AppData\Roaming\mozilla\Firefox\Profiles\aruhtee8.default\extensions
[2011.02.10 19:29:03 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\von Restorff\AppData\Roaming\mozilla\Firefox\Profiles\aruhtee8.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012.03.07 22:47:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.09.29 19:18:07 | 000,266,720 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011.01.04 13:01:30 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2012.06.21 21:29:58 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.29 19:18:06 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.06.21 21:29:58 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.21 21:29:58 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.21 21:29:58 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.21 21:29:58 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.01.27 22:22:03 | 000,000,822 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [DivX Download Manager] C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe (DivX, LLC)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe (VIA)
O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta ()
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\system32\pnrpnsp.dll File not found
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CDA25805-4ABA-48E7-A52C-05F0C734C2A4}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{37289f5c-047e-11e1-bba4-0025224a88f4}\Shell - "" = AutoRun
O33 - MountPoints2\{37289f5c-047e-11e1-bba4-0025224a88f4}\Shell\AutoRun\command - "" = I:\pushinst.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.10.07 13:08:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.10.07 13:08:39 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.10.07 13:08:38 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.10.05 18:55:02 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Avira
[2012.10.05 18:49:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2012.10.05 18:49:11 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2012.10.05 18:49:10 | 000,134,184 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2012.10.05 18:49:10 | 000,083,792 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2012.10.05 18:49:10 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2012.10.05 18:48:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2012.10.05 18:48:54 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2012.10.02 12:10:21 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\2012-10-02 September 2012
[2012.09.28 19:26:36 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\2012-09-28 Mami Sep 2012
[2012.09.18 00:09:04 | 000,000,000 | ---D | C] -- C:\Windows\System32\Adobe
[2012.09.13 03:31:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.09.13 03:31:21 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2012.09.12 13:01:38 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\2012-09-12 september 2012
 
========== Files - Modified Within 30 Days ==========
 
[2012.10.07 19:50:30 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.10.07 19:50:22 | 2767,519,744 | -HS- | M] () -- C:\hiberfil.sys
[2012.10.07 19:49:48 | 000,009,776 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.10.07 19:49:48 | 000,009,776 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.10.07 19:10:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.10.07 13:09:36 | 000,001,085 | ---- | M] () -- C:\Users\***\Desktop\Malwarebytes Anti-Malware.lnk
[2012.10.07 13:08:42 | 000,001,067 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.10.05 18:49:31 | 000,001,940 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2012.09.28 19:26:29 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.09.28 19:26:29 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.09.28 19:26:29 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.09.28 19:26:29 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.09.26 14:22:28 | 001,362,737 | ---- | M] () -- C:\Users\***\Desktop\martina.png
[2012.09.24 09:58:11 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2012.09.13 10:58:24 | 000,134,184 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2012.09.13 10:58:17 | 000,083,792 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
 
========== Files Created - No Company Name ==========
 
[2012.10.07 13:09:36 | 000,001,085 | ---- | C] () -- C:\Users\***\Desktop\Malwarebytes Anti-Malware.lnk
[2012.10.07 13:08:42 | 000,001,067 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.10.05 18:49:31 | 000,001,940 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2012.09.26 10:44:23 | 001,362,737 | ---- | C] () -- C:\Users\***\Desktop\martina.png
[2011.11.01 13:41:17 | 000,015,573 | ---- | C] () -- C:\Windows\System32\drivers\fwlanusbn.bin
[2011.05.15 17:03:08 | 000,015,873 | ---- | C] () -- C:\Windows\System32\Inetde.dll
[2011.02.22 15:37:07 | 000,137,344 | ---- | C] () -- C:\Windows\System32\drivers\hwpsgt.sys
[2011.02.22 15:36:57 | 000,009,472 | ---- | C] () -- C:\Windows\System32\drivers\lemsgt.sys
[2011.01.12 20:45:56 | 000,004,608 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.11 19:37:50 | 000,000,085 | -HS- | C] () -- C:\ProgramData\.zreglib
[2011.01.03 18:34:17 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2011.01.03 15:04:46 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = shell32.dll -- [2012.06.09 06:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 06:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = fastprox.dll -- [2009.07.14 03:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 03:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.02.22 15:41:09 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Ascaron Entertainment
[2012.04.14 21:30:13 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\BOM
[2012.03.08 10:44:38 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Canneverbe Limited
[2011.02.10 19:29:02 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers
[2012.03.11 12:00:07 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\HandBrake
[2011.01.23 11:10:16 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Local
[2011.01.13 14:31:13 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\TuneUp Software
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---
[/code]

Extras OTL Logfile:
Code:
OTL Extras logfile created on: 07.10.2012 19:57:51 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\***\Desktop\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,44 Gb Total Physical Memory | 2,45 Gb Available Physical Memory | 71,41% Memory free
7,37 Gb Paging File | 6,27 Gb Available in Paging File | 85,05% Paging File free
Paging file location(s): c:\pagefile.sys 4032 4032 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 596,04 Gb Total Space | 14,20 Gb Free Space | 2,38% Space Free | Partition Type: NTFS
 
Computer Name: INTERNET | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-599126093-1068259136-831876493-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java(TM) 6 Update 23
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek Ethernet Controller  Driver
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{942E5031-2BD6-4C1B-918C-C8A1CBAE7B8C}" = Microsoft IntelliPoint 8.2
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{97C82B44-D408-4F14-9252-47FC1636D23E}_is1" = IZArc 4.1
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 260.99
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C768790F-04FB-11E0-9B2C-001AA037B01E}" = Google Earth
"{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}" = Skype Toolbars
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"Biet-O-Matic v2.12.0" = Biet-O-Matic v2.12.0
"CloneDVD.exe_is1" = CloneDVD 3.9.1
"CloneDVD2" = CloneDVD2
"DivX Setup.divx.com" = DivX-Setup
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.9.33
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.0.1400
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft IntelliPoint 8.2" = Microsoft IntelliPoint 8.2
"Mozilla Firefox 15.0.1 (x86 de)" = Mozilla Firefox 15.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Picasa 3" = Picasa 3
"SystemRequirementsLab" = System Requirements Lab
"Uninstall_is1" = Uninstall 1.0.0.1
"Vermeer 2_is1" = Vermeer 2
"VLC media player" = VLC media player 1.1.5
"WinRAR archiver" = WinRAR
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 05.10.2012 14:54:21 | Computer Name = Internet | Source = Software Protection Platform Service | ID = 8198
Description = Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:  0x800401F9
 
Error - 05.10.2012 14:54:21 | Computer Name = Internet | Source = Winlogon | ID = 4103
Description = Fehler bei der Windows-Lizenzaktivierung. Fehler 0x00000000.
 
Error - 07.10.2012 06:07:11 | Computer Name = Internet | Source = Software Protection Platform Service | ID = 8198
Description = Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:  0x800401F9
 
Error - 07.10.2012 06:07:11 | Computer Name = Internet | Source = Winlogon | ID = 4103
Description = Fehler bei der Windows-Lizenzaktivierung. Fehler 0x00000000.
 
Error - 07.10.2012 06:44:15 | Computer Name = Internet | Source = Software Protection Platform Service | ID = 8198
Description = Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:  0x800401F9
 
Error - 07.10.2012 06:44:15 | Computer Name = Internet | Source = Winlogon | ID = 4103
Description = Fehler bei der Windows-Lizenzaktivierung. Fehler 0x00000000.
 
Error - 07.10.2012 13:00:00 | Computer Name = Internet | Source = Windows Backup | ID = 4103
Description =
 
Error - 07.10.2012 13:49:18 | Computer Name = Internet | Source = EventSystem | ID = 4621
Description =
 
Error - 07.10.2012 13:50:57 | Computer Name = Internet | Source = Software Protection Platform Service | ID = 8198
Description = Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:  0x800401F9
 
Error - 07.10.2012 13:50:57 | Computer Name = Internet | Source = Winlogon | ID = 4103
Description = Fehler bei der Windows-Lizenzaktivierung. Fehler 0x00000000.
 
[ System Events ]
Error - 09.03.2012 08:16:52 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 09.03.2012 15:36:55 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 10.03.2012 04:42:18 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 10.03.2012 08:59:05 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 10.03.2012 14:56:29 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 11.03.2012 04:27:13 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 11.03.2012 04:28:35 | Computer Name = Internet | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 11.03.2012 05:40:45 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 11.03.2012 16:47:24 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 12.03.2012 03:11:54 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
 
< End of report >
--- --- ---




GMER

GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-10-07 21:45:12
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 ST3640623AS rev.SD43
Running: ufjoqd1f.exe; Driver: C:\Users\VONRES~1\AppData\Local\Temp\kxdorpow.sys


---- System - GMER 1.0.15 ----

SSDT            8FCE0B9E                                                                                                            ZwCreateSection
SSDT            8FCE0BA8                                                                                                            ZwRequestWaitReplyPort
SSDT            8FCE0BA3                                                                                                            ZwSetContextThread
SSDT            8FCE0BAD                                                                                                            ZwSetSecurityObject
SSDT            8FCE0BB2                                                                                                            ZwSystemDebugControl
SSDT            8FCE0B3F                                                                                                            ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntoskrnl.exe!ZwRollbackTransaction + 13ED                                                                            830878A9 1 Byte  [06]
.text          ntoskrnl.exe!KiDispatchInterrupt + 5A2                                                                              830A72F2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text          ntoskrnl.exe!KeRemoveQueueEx + 14B7                                                                                  830AE684 4 Bytes  [9E, 0B, CE, 8F]
.text          ntoskrnl.exe!KeRemoveQueueEx + 1813                                                                                  830AE9E0 4 Bytes  [A8, 0B, CE, 8F]
.text          ntoskrnl.exe!KeRemoveQueueEx + 1857                                                                                  830AEA24 4 Bytes  [A3, 0B, CE, 8F]
.text          ntoskrnl.exe!KeRemoveQueueEx + 18D3                                                                                  830AEAA0 4 Bytes  [AD, 0B, CE, 8F]
.text          ntoskrnl.exe!KeRemoveQueueEx + 1927                                                                                  830AEAF4 4 Bytes  [B2, 0B, CE, 8F]
.text          ...                                                                                                                 
?              System32\drivers\xgap.sys                                                                                            Das System kann den angegebenen Pfad nicht finden. !
PAGE            spsys.sys!?SPRevision@@3PADA + 4F90                                                                                  9CF89000 290 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 50B3                                                                                  9CF89123 629 Bytes  [45, F8, 9C, FE, 05, 34, 45, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 5329                                                                                  9CF89399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 538F                                                                                  9CF893FF 51 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 53C3                                                                                  9CF89433 96 Bytes  [F7, 9C, 85, C9, 7C, 18, 8D, ...]
PAGE            ...                                                                                                                 
.text          autochk.exe                                                                                                          001C11D8 4 Bytes  [09, 81, 21, 7D]
.text          autochk.exe                                                                                                          001C11DF 4 Bytes  [8C, 60, AB, 1B]
.text          autochk.exe                                                                                                          001C11E4 8 Bytes  [FF, FF, FF, 7F, FF, FF, FF, ...]
.text          autochk.exe                                                                                                          001C11EE 8 Bytes  [FF, 7F, FF, 7F, FF, 7F, FF, ...]
.text          autochk.exe                                                                                                          001C11FC 4 Bytes  [48, F1, 63, 02] {DEC EAX; INT1 ; ARPL [EDX], AX}
.text          ...                                                                                                                 

---- User code sections - GMER 1.0.15 ----

.text          C:\Program Files\Mozilla Firefox\firefox.exe[2448] ntdll.dll!wcsncmp + 33B                                          7777F420 7 Bytes  JMP 690C0C00 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text          C:\Program Files\Mozilla Firefox\firefox.exe[2448] kernel32.dll!K32GetDeviceDriverBaseNameW + 16F                    75F2C057 7 Bytes  JMP 692F7B29 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text          C:\Program Files\Mozilla Firefox\firefox.exe[2448] kernel32.dll!CloseHandle + 38                                    75F3058F 7 Bytes  JMP 692F7B4C C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text          C:\Program Files\Mozilla Firefox\firefox.exe[2448] kernel32.dll!GetExitCodeProcess + 2C                              75F330DD 7 Bytes  JMP 690C3FAC C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text          C:\Program Files\Mozilla Firefox\firefox.exe[2448] GDI32.dll!GetViewportOrgEx + 21C                                  75BB85EB 7 Bytes  JMP 692F7AAA C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text          C:\Program Files\Mozilla Firefox\plugin-container.exe[3144] USER32.dll!GetWindowInfo                                77666A82 5 Bytes  JMP 69214536 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text          C:\Program Files\Mozilla Firefox\plugin-container.exe[3144] USER32.dll!MenuItemFromPoint + F                        77684B36 7 Bytes  JMP 69214B35 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateFile + 6              777646B6 4 Bytes  [28, 00, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateFile + B              777646BB 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateKey + 6                777646F6 4 Bytes  [68, 01, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateKey + B                777646FB 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateMutant + 6            77764736 4 Bytes  [68, 02, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateMutant + B            7776473B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateSection + 6            777647D6 4 Bytes  [A8, 02, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateSection + B            777647DB 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtMapViewOfSection + B        77764D1B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenFile + 6                77764DC6 4 Bytes  [68, 00, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenFile + B                77764DCB 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenKey + 6                  77764DF6 4 Bytes  [A8, 01, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenKey + B                  77764DFB 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenKeyEx + B                77764E0B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenMutant + 6              77764E46 4 Bytes  [28, 02, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenMutant + B              77764E4B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcess + 6              77764E76 1 Byte  [68]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcess + 6              77764E76 4 Bytes  [68, 03, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcess + B              77764E7B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessToken + 6        77764E86 1 Byte  [A8]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessToken + 6        77764E86 4 Bytes  [A8, 03, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessToken + B        77764E8B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessTokenEx + 6      77764E96 4 Bytes  [68, 04, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessTokenEx + B      77764E9B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenSection + B              77764EBB 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThread + 6              77764EF6 1 Byte  [28]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThread + 6              77764EF6 4 Bytes  [28, 03, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThread + B              77764EFB 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThreadToken + 6          77764F06 4 Bytes  [28, 04, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThreadToken + B          77764F0B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThreadTokenEx + 6        77764F16 4 Bytes  [A8, 04, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThreadTokenEx + B        77764F1B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtQueryAttributesFile + 6      77765026 4 Bytes  [A8, 00, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtQueryAttributesFile + B      7776502B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtQueryFullAttributesFile + B  777650DB 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtSetInformationFile + 6      77765726 4 Bytes  [28, 01, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtSetInformationFile + B      7776572B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtSetInformationThread + 6    77765786 1 Byte  [E8]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtSetInformationThread + B    7776578B 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtUnmapViewOfSection + 6      77765AA6 4 Bytes  [28, 05, 07, 00]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtUnmapViewOfSection + B      77765AAB 1 Byte  [E2]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] kernel32.dll!CreateProcessW              75EE202D 5 Bytes  JMP 00010030
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] kernel32.dll!CreateProcessA              75EE2062 5 Bytes  JMP 00010070
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SelectObject                  75BB61D0 5 Bytes  JMP 002105F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetTextColor                  75BB6622 5 Bytes  JMP 00210A30
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetBkMode                      75BB66CD 5 Bytes  JMP 002108F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!DeleteObject                  75BB68B4 5 Bytes  JMP 002101B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!DeleteDC                      75BB6A2C 5 Bytes  JMP 00210170
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ExtSelectClipRgn              75BB6C72 5 Bytes  JMP 002102F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SelectClipRgn                  75BB6D84 5 Bytes  JMP 002105B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetDeviceCaps                  75BB6E03 5 Bytes  JMP 002103B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetStretchBltMode              75BB73CE 5 Bytes  JMP 002106B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetCurrentObject              75BB777C 5 Bytes  JMP 00210370
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextMetricsW                75BB798F 5 Bytes  JMP 00210E30
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!IntersectClipRect              75BB7CCA 5 Bytes  JMP 002103F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextAlign                  75BB7D15 5 Bytes  JMP 00210D70
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetTextAlign                  75BB7F92 5 Bytes  JMP 002109F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ExtTextOutW                    75BB8053 5 Bytes  JMP 00210970
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetClipBox                    75BB81F2 5 Bytes  JMP 00210330
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!MoveToEx                      75BB8A16 5 Bytes  JMP 00210470
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CreateDCA                      75BB9975 5 Bytes  JMP 002100B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!RestoreDC                      75BB9A10 5 Bytes  JMP 00210530
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SaveDC                        75BB9AD2 5 Bytes  JMP 00210570
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!StretchDIBits                  75BBAC38 5 Bytes  JMP 00210770
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextFaceW                  75BBB4CC 5 Bytes  JMP 00210D30
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextExtentPoint32W          75BBB535 5 Bytes  JMP 00210670
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetFontData                    75BBB8E8 5 Bytes  JMP 00210C70
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CreateDCW                      75BBBD21 5 Bytes  JMP 002100F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CreateICW                      75BBC660 5 Bytes  JMP 00210130
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!LineTo                        75BBCA20 5 Bytes  JMP 00210430
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetWorldTransform              75BBCB42 5 Bytes  JMP 002106F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextMetricsA                75BBCE46 5 Bytes  JMP 00210DF0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!Rectangle                      75BBF5BE 5 Bytes  JMP 002109B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetICMMode                    75BBF8D4 5 Bytes  JMP 00210DB0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ExtTextOutA                    75BC0158 5 Bytes  JMP 00210930
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextExtentPoint32A          75BC08BB 5 Bytes  JMP 00210630
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!Escape                        75BC0B0D 5 Bytes  JMP 00210270
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ExtEscape                      75BC3472 5 Bytes  JMP 002102B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextFaceA                  75BC3E49 5 Bytes  JMP 00210CF0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetPolyFillMode                75BC6CE1 5 Bytes  JMP 00210B30
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetMiterLimit                  75BC6E54 5 Bytes  JMP 00210B70
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ResetDCW                      75BD031C 5 Bytes  JMP 00210AB0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!EndPage                        75BD07CD 5 Bytes  JMP 00210230
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetGlyphOutlineW              75BDC292 5 Bytes  JMP 00210CB0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CreateScalableFontResourceW    75BDE8EF 5 Bytes  JMP 00210BB0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!AddFontResourceW              75BDECEB 5 Bytes  JMP 00210BF0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!RemoveFontResourceW            75BDF1E1 5 Bytes  JMP 00210C30
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!AbortDoc                      75BE4D37 5 Bytes  JMP 00210030
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!EndDoc                        75BE517E 5 Bytes  JMP 002101F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!StartPage                      75BE5269 5 Bytes  JMP 00210730
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!StartDocW                      75BE5BB6 5 Bytes  JMP 002107F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!BeginPath                      75BE635D 5 Bytes  JMP 00210830
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SelectClipPath                75BE63B4 5 Bytes  JMP 00210AF0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CloseFigure                    75BE640F 5 Bytes  JMP 00210070
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!EndPath                        75BE6466 5 Bytes  JMP 00210A70
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!StrokePath                    75BE6699 5 Bytes  JMP 002107B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!FillPath                      75BE6726 5 Bytes  JMP 00210870
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!PolylineTo                    75BE6B94 5 Bytes  JMP 002104F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!PolyBezierTo                  75BE6C25 5 Bytes  JMP 002104B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!PolyDraw                      75BE6CD7 5 Bytes  JMP 002108B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!ActivateKeyboardLayout        7765817D 5 Bytes  JMP 002204F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!ScreenToClient                7765C1F2 7 Bytes  JMP 00220670
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!RegisterClipboardFormatA      7765E6B1 5 Bytes  JMP 002202F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!RegisterClipboardFormatW      7765EDFD 5 Bytes  JMP 002202B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!SetCursor                    776652EA 5 Bytes  JMP 00220530
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!MonitorFromWindow            7766590A 7 Bytes  JMP 00220630
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!PostMessageW                  77666225 5 Bytes  JMP 002205F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!IsWindowVisible              77666939 7 Bytes  JMP 002206B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClientRect                776674B1 7 Bytes  JMP 002205B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!MapWindowPoints              77667915 5 Bytes  JMP 00220570
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetParent                    77667AB3 7 Bytes  JMP 002206F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!SetClipboardData              77674979 5 Bytes  JMP 00220170
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!EmptyClipboard                77674A28 5 Bytes  JMP 00220130
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardData              77674B47 5 Bytes  JMP 00220030
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!EnumClipboardFormats          77674D98 5 Bytes  JMP 002201B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardFormatNameW      77677EB2 5 Bytes  JMP 00220230
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!SetClipboardViewer            77678F4D 5 Bytes  JMP 002204B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardFormatNameA      77678F61 5 Bytes  JMP 00220270
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetOpenClipboardWindow        7767902F 1 Byte  [E9]
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetOpenClipboardWindow        7767902F 5 Bytes  JMP 002203F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!ChangeClipboardChain          77683425 5 Bytes  JMP 00220430
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetTopWindow                  77683A5D 7 Bytes  JMP 00220730
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!CloseClipboard                77685BA7 5 Bytes  JMP 002200B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!OpenClipboard                77685BB9 5 Bytes  JMP 00220070
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!IsClipboardFormatAvailable    77685C3A 5 Bytes  JMP 002200F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardSequenceNumber    77685C4E 5 Bytes  JMP 00220330
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardOwner            77685C60 5 Bytes  JMP 00220370
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!CountClipboardFormats        77685DC9 5 Bytes  JMP 002201F0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!SetCursorPos                  7769C1D8 5 Bytes  JMP 00220770
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardViewer            776B4B57 5 Bytes  JMP 00220470
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetPriorityClipboardFormat    776B4C59 5 Bytes  JMP 002203B0
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ole32.dll!OleSetClipboard                766DF2FE 5 Bytes  JMP 00230030
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ole32.dll!OleIsCurrentClipboard          766E2489 5 Bytes  JMP 00230070
.text          C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ole32.dll!OleGetClipboard                7670F825 5 Bytes  JMP 002300B0

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000046                                                                                    halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---

DerJazzer 08.10.2012 06:08
Hi Christoph :D

du scheinst Glück gehabt zu haben, die Logs sind sauber. Allerdings fehlt auf deinem System das Windows 7 Service Pack 1. Das müssen wir am Ende der Bereinigung noch installieren (aber erst, wenn ich dich dazu anweise ;) ).



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


fvr1234 08.10.2012 08:55
Eset: No threats found

Total scan time: 1h 29min

DerJazzer 08.10.2012 11:50
Hi :)

Das hört sich doch gut an!

Dann müssen wir noch aufräumen und absichern:


Schritt 1

Bitte gehe zu Systemsteuerung -> System und Sicherheit -> Windows Update und klicke auf Nach Updates suchen (linke Spalte).
Lasse alle vorhandenen Updates installieren. Das System wird einen Neustart (oder auch mehrere - je nach Anzahl der Updates) verlangen. Lasse dies bitte zu.


Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 7 ) herunterladen.
  • Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Schritt 3

VLC-Update:
  • Lade dir die neuste Version des VLC von Hier herunter und installiere sie.
  • Wenn der Installationsassistent fragt, ob er die alte Version deinstallieren soll, lasse dies bitte zu.
ACHTUNG!
Den VLC immer von videolan.org herunterladen. Die Seite vlc.de ist ein Fake und installiert bei der Installation eines Setups von dort Adware mit!
-> Es ist leider schon geschehen? Abhilfe schafft diese Anleitung: http://www.trojaner-board.de/125206-...tml#post931543


Schritt 4


OTL-CleanUp

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Schritt 5

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher, dass die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und dass diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demand Scan Tool, welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich, bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java, Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart außerdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese schaden deinem System mehr als sie helfen. Hier ein paar (englische) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
  • Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z. B. deinFoto.jpg.exe oder (aus aktuellem Anlass) angebliche Rechnungen im ZIP- oder Exe-Format
Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, sodass ich diesen Thread aus meinen Abos löschen kann.

DerJazzer 12.10.2012 12:32
Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131