Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BOO/Sinowal.a Virus auf externer Festplatte (https://www.trojaner-board.de/133223-boo-sinowal-a-virus-externer-festplatte.html)

orezjunk 05.04.2013 05:26
BOO/Sinowal.a Virus auf externer Festplatte
 
Hey
ich hab mir so einen köstlichen Virus auf meiner externen Festplatte eingefangen und mich schon ein wenig durch die Foren gekäpft. Dort wurde mir scheinbar zu tatkräftiger Hilfe geraten. Da ich keine suizidalen Gedanken habe hab ich soweit nen gmer scan und Hijackthis Scan durchgeführt. Ich hatte mich auch schon mit Test disk probiert und und wollte da meine mbr beschreiben und habe sowas in der art glaube ich getan....
Bitte um Hilfe danke!

Datein sind im Anhang
:killpc:

aharonov 05.04.2013 13:29
Hi,

mal schauen:


Schritt 1

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.
  • Starte die aswMBR.exe.
    Vista und Win7 User mit Rechtsklick "als Admininstartor ausführen".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von avast! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte, bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere die Datei auf dem Desktop.
Poste mir diese aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.



Schritt 2

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.
  • Starte die TDSSKiller.exe.
  • Drücke Start Scan.
  • Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  • TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
  • Poste bitte den Inhalt dieses Logfiles hier in den Thread.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von aswMBR
  • Log von TDSSKiller
  • Logs von OTL

orezjunk 05.04.2013 16:24
So gesagt getan,

Die aswmbr.exe ist natürliche bei der hälft des scan meiner externen Partition abgeschmiert. aber der rest hat funktioniert.
Danke schon mal im Voraus...

aharonov 05.04.2013 16:36
Hi,

dann so:


Schritt 1

Starte bitte TDSSkiller.exe.
Vista und Win7 User mit Rechtsklick "als Administrator ausführen".
  • Drücke auf Start Scan.
    Mache während des Scans nichts am Rechner!
  • Gehe sicher, dass (nur!) bei Rootkit.Boot.Sinowal.a die Option Cure (default) angehakt ist.
  • Drücke Continue --> Reboot.
  • TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
  • Poste bitte den Inhalt dieses Logfiles in deinen Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von TDSSKiller

orezjunk 05.04.2013 17:09
hatte ich doch gemacht in 2 datein im anhang siehst du die?

aharonov 05.04.2013 18:51
Ich sehe nur
Zitat:
17:12:19.0690 3240 \Device\Harddisk3\DR3 ( Rootkit.Boot.Sinowal.a ) - skipped by user
Dass du es gelöscht hättest, seh ich nirgends.
Du müsstest den gleichen Scan noch einmal machen, aber dann zum Schluss den erwähnten Eintrag löschen lassen und nicht skippen.

orezjunk 06.04.2013 06:03
Ich bitte vielmals um entschuldigung ich habs verplant aber nun nachdem erwähnten cure hier ist die log ich hoffe ich bin den dreck jetzt los?

Cheers

aharonov 06.04.2013 12:57
Hi,

sieht schon besser aus.
Wir machen weiter:
(Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
  • Schliesse alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.
  • WICHTIG: Speichere Combofix auf deinen Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
  • Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von AdwCleaner
  • Log von Combofix
  • Log von OTL

orezjunk 06.04.2013 14:35
Ja hab ich gemacht und jetzt hab ich hall beim wiedergeben von Musik kannst du mir sagen warum?AdwCleaner Logfile:
Code:
# AdwCleaner v2.200 - Datei am 06/04/2013 um 15:11:41 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Windows 7 Professional  (32 bits)
# Benutzer : Peter - PETER-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Peter\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelöscht : C:\Users\Peter\AppData\Roaming\Mozilla\Firefox\Profiles\1cg1rmfu.default\searchplugins\daemon-search.xml
Ordner Gelöscht : C:\Program Files\DAEMON Tools Toolbar
Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\Users\Peter\AppData\Local\Babylon
Ordner Gelöscht : C:\Users\Peter\AppData\Roaming\Babylon
Ordner Gelöscht : C:\Users\Peter\AppData\Roaming\Mozilla\Firefox\Profiles\1cg1rmfu.default\extensions\ffxtlbr@babylon.com

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4FC7-90CC-5EA0ABBE9EB8}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\Software\BabylonToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7600.16385

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.daemon-search.com/startpage --> hxxp://www.google.com
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Secondary Start Pages] = hxxp://search.babylon.com/?babsrc=hp_ss&affid=100489&mntrid=5467cf35000000000000000000000000 --> hxxp://www.google.com
Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?babsrc=NT_ss&affID=100489&mntrId=5467cf35000000000000000000000000 --> hxxp://www.google.com

-\\ Mozilla Firefox v3.5.2 (de)

Datei : C:\Users\Peter\AppData\Roaming\Mozilla\Firefox\Profiles\1cg1rmfu.default\prefs.js

Gelöscht : user_pref("browser.startup.homepage", "hxxp://www.daemon-search.com/startpage");

-\\ Opera v11.51.1087.0

Datei : C:\Users\Peter\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [2715 octets] - [06/04/2013 15:11:41]

########## EOF - C:\AdwCleaner[S1].txt - [2775 octets] ##########
--- --- ---


Combo Fix.txt ist unauffindbar...OTL Logfile:
Code:
OTL logfile created on: 06.04.2013 15:38:54 - Run 3
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Peter\Desktop\Virus stuff
 Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,13 Gb Available Physical Memory | 70,92% Memory free
6,00 Gb Paging File | 4,83 Gb Available in Paging File | 80,49% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 46,58 Gb Total Space | 31,75 Gb Free Space | 68,17% Space Free | Partition Type: NTFS
Drive D: | 41,92 Gb Total Space | 41,29 Gb Free Space | 98,50% Space Free | Partition Type: NTFS
Drive E: | 377,26 Gb Total Space | 339,38 Gb Free Space | 89,96% Space Free | Partition Type: NTFS
Drive F: | 100,00 Mb Total Space | 86,25 Mb Free Space | 86,25% Space Free | Partition Type: NTFS
Drive G: | 78,03 Gb Total Space | 1,68 Gb Free Space | 2,15% Space Free | Partition Type: NTFS
Drive H: | 390,62 Gb Total Space | 222,86 Gb Free Space | 57,05% Space Free | Partition Type: NTFS
Drive I: | 462,76 Gb Total Space | 42,59 Gb Free Space | 9,20% Space Free | Partition Type: NTFS
Drive K: | 148,22 Gb Total Space | 2,62 Gb Free Space | 1,77% Space Free | Partition Type: FAT32
Drive L: | 5,13 Gb Total Space | 0,16 Gb Free Space | 3,18% Space Free | Partition Type: NTFS
 
Computer Name: PETER-PC | User Name: Peter | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.04.05 16:30:14 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Peter\Desktop\Virus stuff\OTL.exe
PRC - [2012.05.02 01:42:31 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.02 00:34:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.02 00:31:38 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.04.24 02:11:59 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.09.15 13:36:37 | 001,800,464 | ---- | M] (COMODO) -- C:\Programme\COMODO\COMODO Internet Security\cfp.exe
PRC - [2011.09.15 13:36:37 | 000,723,632 | ---- | M] (COMODO) -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
PRC - [2011.09.11 14:25:45 | 000,947,056 | ---- | M] (Opera Software) -- C:\Programme\Opera\opera.exe
PRC - [2011.06.30 20:30:10 | 001,595,520 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\Winamp\winamp.exe
PRC - [2011.06.30 20:29:06 | 000,074,752 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\Winamp\winampa.exe
PRC - [2009.09.25 15:38:16 | 000,312,784 | ---- | M] () -- C:\Programme\XSManager\WTGService.exe
PRC - [2009.09.17 18:37:48 | 000,157,968 | R--- | M] (4G Systems GmbH & Co. KG) -- C:\Windows\starter4g.exe
PRC - [2009.09.17 18:37:04 | 000,125,200 | R--- | M] (4G Systems GmbH & Co. KG) -- C:\Windows\service4g.exe
PRC - [2009.07.14 03:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.07.14 03:14:15 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.04.06 15:32:16 | 000,204,800 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\winamp.lng
MOD - [2013.04.06 15:32:16 | 000,155,648 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\vis_milk2.lng
MOD - [2013.04.06 15:32:16 | 000,088,064 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\vis_avs.lng
MOD - [2013.04.06 15:32:16 | 000,039,424 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\pmp_wifi.lng
MOD - [2013.04.06 15:32:16 | 000,036,864 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\pmp_ipod.lng
MOD - [2013.04.06 15:32:16 | 000,011,776 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\pmp_usb.lng
MOD - [2013.04.06 15:32:16 | 000,007,680 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\vis_nsfs.lng
MOD - [2013.04.06 15:32:16 | 000,006,144 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\tagz.lng
MOD - [2013.04.06 15:32:16 | 000,004,096 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\winampa.lng
MOD - [2013.04.06 15:32:16 | 000,004,096 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\pmp_p4s.lng
MOD - [2013.04.06 15:32:16 | 000,003,584 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\pmp_njb.lng
MOD - [2013.04.06 15:32:15 | 000,047,104 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_pmp.lng
MOD - [2013.04.06 15:32:15 | 000,036,352 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ombrowser.lng
MOD - [2013.04.06 15:32:15 | 000,020,480 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\pmp_android.lng
MOD - [2013.04.06 15:32:15 | 000,016,384 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\out_ds.lng
MOD - [2013.04.06 15:32:15 | 000,014,848 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_wire.lng
MOD - [2013.04.06 15:32:15 | 000,008,192 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_transcode.lng
MOD - [2013.04.06 15:32:15 | 000,007,680 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\out_wave.lng
MOD - [2013.04.06 15:32:15 | 000,006,144 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\out_disk.lng
MOD - [2013.04.06 15:32:15 | 000,005,120 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_rg.lng
MOD - [2013.04.06 15:32:15 | 000,004,608 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\pmp_activesync.lng
MOD - [2013.04.06 15:32:15 | 000,003,072 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\playlist.lng
MOD - [2013.04.06 15:32:14 | 000,056,320 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_local.lng
MOD - [2013.04.06 15:32:14 | 000,047,616 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_disc.lng
MOD - [2013.04.06 15:32:14 | 000,034,816 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_plg.lng
MOD - [2013.04.06 15:32:14 | 000,015,360 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_wm.lng
MOD - [2013.04.06 15:32:14 | 000,014,336 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_online.lng
MOD - [2013.04.06 15:32:14 | 000,012,800 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_playlists.lng
MOD - [2013.04.06 15:32:14 | 000,011,776 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_nsv.lng
MOD - [2013.04.06 15:32:14 | 000,011,264 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_vorbis.lng
MOD - [2013.04.06 15:32:14 | 000,009,728 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_downloads.lng
MOD - [2013.04.06 15:32:14 | 000,008,704 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_history.lng
MOD - [2013.04.06 15:32:14 | 000,008,704 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_devices.lng
MOD - [2013.04.06 15:32:14 | 000,006,656 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_autotag.lng
MOD - [2013.04.06 15:32:14 | 000,006,656 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_wav.lng
MOD - [2013.04.06 15:32:14 | 000,005,632 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_wave.lng
MOD - [2013.04.06 15:32:14 | 000,005,120 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_impex.lng
MOD - [2013.04.06 15:32:14 | 000,005,120 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_bookmarks.lng
MOD - [2013.04.06 15:32:14 | 000,004,608 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_enqplay.lng
MOD - [2013.04.06 15:32:14 | 000,004,608 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_wv.lng
MOD - [2013.04.06 15:32:14 | 000,004,096 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_orb.lng
MOD - [2013.04.06 15:32:14 | 000,003,584 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_nowplaying.lng
MOD - [2013.04.06 15:32:14 | 000,003,584 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\ml_addons.lng
MOD - [2013.04.06 15:32:14 | 000,003,584 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_swf.lng
MOD - [2013.04.06 15:32:13 | 000,041,984 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_jumpex.lng
MOD - [2013.04.06 15:32:13 | 000,023,040 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_mp3.lng
MOD - [2013.04.06 15:32:13 | 000,021,504 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_ml.lng
MOD - [2013.04.06 15:32:13 | 000,020,480 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_midi.lng
MOD - [2013.04.06 15:32:13 | 000,018,944 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_mod.lng
MOD - [2013.04.06 15:32:13 | 000,014,336 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_cdda.lng
MOD - [2013.04.06 15:32:13 | 000,011,776 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_skinmanager.lng
MOD - [2013.04.06 15:32:13 | 000,011,264 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_hotkeys.lng
MOD - [2013.04.06 15:32:13 | 000,010,752 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_undo.lng
MOD - [2013.04.06 15:32:13 | 000,010,240 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_timerestore.lng
MOD - [2013.04.06 15:32:13 | 000,009,216 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_nopro.lng
MOD - [2013.04.06 15:32:13 | 000,008,192 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_tray.lng
MOD - [2013.04.06 15:32:13 | 000,007,168 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_orgler.lng
MOD - [2013.04.06 15:32:13 | 000,006,656 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_dshow.lng
MOD - [2013.04.06 15:32:13 | 000,005,632 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_flac.lng
MOD - [2013.04.06 15:32:13 | 000,005,120 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_mp4.lng
MOD - [2013.04.06 15:32:13 | 000,005,120 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_avi.lng
MOD - [2013.04.06 15:32:13 | 000,004,608 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_mkv.lng
MOD - [2013.04.06 15:32:13 | 000,003,584 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_linein.lng
MOD - [2013.04.06 15:32:13 | 000,003,584 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\in_flv.lng
MOD - [2013.04.06 15:32:12 | 000,069,120 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\burnlib.lng
MOD - [2013.04.06 15:32:12 | 000,023,552 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_classicart.lng
MOD - [2013.04.06 15:32:12 | 000,023,040 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_ff.lng
MOD - [2013.04.06 15:32:12 | 000,013,824 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\dsp_sps.lng
MOD - [2013.04.06 15:32:12 | 000,010,752 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\auth.lng
MOD - [2013.04.06 15:32:12 | 000,007,168 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_crasher.lng
MOD - [2013.04.06 15:32:12 | 000,006,656 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\enc_fhgaac.lng
MOD - [2013.04.06 15:32:12 | 000,006,144 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\enc_wma.lng
MOD - [2013.04.06 15:32:12 | 000,005,632 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\enc_lame.lng
MOD - [2013.04.06 15:32:12 | 000,004,096 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\gen_find_on_disk.lng
MOD - [2013.04.06 15:32:12 | 000,004,096 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\enc_wav.lng
MOD - [2013.04.06 15:32:12 | 000,004,096 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\enc_vorbis.lng
MOD - [2013.04.06 15:32:12 | 000,004,096 | ---- | M] () -- C:\Users\Peter\AppData\Local\Temp\WLZC9F2.tmp\enc_flac.lng
MOD - [2013.04.06 15:31:14 | 000,090,112 | ---- | M] () -- C:\Programme\Winamp\System\xml.w5s
MOD - [2013.04.06 15:31:14 | 000,083,968 | ---- | M] () -- C:\Programme\Winamp\tataki.dll
MOD - [2013.04.06 15:31:14 | 000,047,616 | ---- | M] () -- C:\Programme\Winamp\zlib.dll
MOD - [2013.04.06 15:31:13 | 000,103,936 | ---- | M] () -- C:\Programme\Winamp\System\png.w5s
MOD - [2013.04.06 15:31:13 | 000,084,480 | ---- | M] () -- C:\Programme\Winamp\System\playlist.w5s
MOD - [2013.04.06 15:31:13 | 000,035,328 | ---- | M] () -- C:\Programme\Winamp\System\timer.w5s
MOD - [2013.04.06 15:31:13 | 000,021,504 | ---- | M] () -- C:\Programme\Winamp\System\tagz.w5s
MOD - [2013.04.06 15:31:13 | 000,013,824 | ---- | M] () -- C:\Programme\Winamp\System\primo.w5s
MOD - [2013.04.06 15:31:12 | 000,623,616 | ---- | M] () -- C:\Programme\Winamp\System\jnetlib.w5s
MOD - [2013.04.06 15:31:12 | 000,174,080 | ---- | M] () -- C:\Programme\Winamp\System\auth.w5s
MOD - [2013.04.06 15:31:12 | 000,154,624 | ---- | M] () -- C:\Programme\Winamp\System\jpeg.w5s
MOD - [2013.04.06 15:31:12 | 000,044,544 | ---- | M] () -- C:\Programme\Winamp\System\devices.w5s
MOD - [2013.04.06 15:31:12 | 000,019,456 | ---- | M] () -- C:\Programme\Winamp\System\gif.w5s
MOD - [2013.04.06 15:31:12 | 000,019,456 | ---- | M] () -- C:\Programme\Winamp\System\bmp.w5s
MOD - [2013.04.06 15:31:12 | 000,016,896 | ---- | M] () -- C:\Programme\Winamp\System\dlmgr.w5s
MOD - [2013.04.06 15:31:12 | 000,016,384 | ---- | M] () -- C:\Programme\Winamp\System\gracenote.w5s
MOD - [2013.04.06 15:31:12 | 000,014,336 | ---- | M] () -- C:\Programme\Winamp\System\filereader.w5s
MOD - [2013.04.06 15:31:11 | 000,118,272 | ---- | M] () -- C:\Programme\Winamp\Plugins\pmp_p4s.dll
MOD - [2013.04.06 15:31:11 | 000,113,152 | ---- | M] () -- C:\Programme\Winamp\Plugins\pmp_wifi.dll
MOD - [2013.04.06 15:31:11 | 000,053,760 | ---- | M] () -- C:\Programme\Winamp\Plugins\pmp_usb.dll
MOD - [2013.04.06 15:31:11 | 000,023,040 | ---- | M] () -- C:\Programme\Winamp\System\albumart.w5s
MOD - [2013.04.06 15:31:11 | 000,020,480 | ---- | M] () -- C:\Programme\Winamp\Plugins\pmp_njb.dll
MOD - [2013.04.06 15:31:10 | 000,313,344 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_wm.dll
MOD - [2013.04.06 15:31:10 | 000,293,376 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_local.dll
MOD - [2013.04.06 15:31:10 | 000,285,696 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_mp3.dll
MOD - [2013.04.06 15:31:10 | 000,252,416 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_vorbis.dll
MOD - [2013.04.06 15:31:10 | 000,250,368 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_devices.dll
MOD - [2013.04.06 15:31:10 | 000,241,152 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_pmp.dll
MOD - [2013.04.06 15:31:10 | 000,200,704 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_disc.dll
MOD - [2013.04.06 15:31:10 | 000,170,496 | ---- | M] () -- C:\Programme\Winamp\Plugins\pmp_ipod.dll
MOD - [2013.04.06 15:31:10 | 000,165,376 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_mod.dll
MOD - [2013.04.06 15:31:10 | 000,125,440 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_online.dll
MOD - [2013.04.06 15:31:10 | 000,109,568 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_midi.dll
MOD - [2013.04.06 15:31:10 | 000,083,456 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_plg.dll
MOD - [2013.04.06 15:31:10 | 000,082,944 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_playlists.dll
MOD - [2013.04.06 15:31:10 | 000,074,752 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_nsv.dll
MOD - [2013.04.06 15:31:10 | 000,060,928 | ---- | M] () -- C:\Programme\Winamp\Plugins\pmp_android.dll
MOD - [2013.04.06 15:31:10 | 000,057,344 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_impex.dll
MOD - [2013.04.06 15:31:10 | 000,052,224 | ---- | M] () -- C:\Programme\Winamp\Plugins\out_ds.dll
MOD - [2013.04.06 15:31:10 | 000,052,224 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_history.dll
MOD - [2013.04.06 15:31:10 | 000,050,688 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_mp4.dll
MOD - [2013.04.06 15:31:10 | 000,049,152 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_mkv.dll
MOD - [2013.04.06 15:31:10 | 000,043,008 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_flv.dll
MOD - [2013.04.06 15:31:10 | 000,033,792 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_rg.dll
MOD - [2013.04.06 15:31:10 | 000,031,744 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_transcode.dll
MOD - [2013.04.06 15:31:10 | 000,028,672 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_autotag.dll
MOD - [2013.04.06 15:31:10 | 000,027,648 | ---- | M] () -- C:\Programme\Winamp\Plugins\ml_bookmarks.dll
MOD - [2013.04.06 15:31:10 | 000,023,552 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_swf.dll
MOD - [2013.04.06 15:31:10 | 000,022,528 | ---- | M] () -- C:\Programme\Winamp\Plugins\out_disk.dll
MOD - [2013.04.06 15:31:10 | 000,018,432 | ---- | M] () -- C:\Programme\Winamp\Plugins\out_wave.dll
MOD - [2013.04.06 15:31:10 | 000,016,896 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_wave.dll
MOD - [2013.04.06 15:31:10 | 000,007,168 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_linein.dll
MOD - [2013.04.06 15:31:09 | 001,737,728 | ---- | M] () -- C:\Programme\Winamp\Plugins\gen_ff.dll
MOD - [2013.04.06 15:31:09 | 000,410,624 | ---- | M] () -- C:\Programme\Winamp\nsutil.dll
MOD - [2013.04.06 15:31:09 | 000,340,992 | ---- | M] () -- C:\Programme\Winamp\Plugins\freeform\wacs\freetype\freetype.wac
MOD - [2013.04.06 15:31:09 | 000,312,832 | ---- | M] () -- C:\Programme\Winamp\Plugins\gen_ml.dll
MOD - [2013.04.06 15:31:09 | 000,253,440 | ---- | M] () -- C:\Programme\Winamp\libsndfile.dll
MOD - [2013.04.06 15:31:09 | 000,183,808 | ---- | M] () -- C:\Programme\Winamp\Plugins\gen_jumpex.dll
MOD - [2013.04.06 15:31:09 | 000,102,400 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_cdda.dll
MOD - [2013.04.06 15:31:09 | 000,078,848 | ---- | M] () -- C:\Programme\Winamp\nde.dll
MOD - [2013.04.06 15:31:09 | 000,072,192 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_dshow.dll
MOD - [2013.04.06 15:31:09 | 000,068,608 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_avi.dll
MOD - [2013.04.06 15:31:09 | 000,060,928 | ---- | M] () -- C:\Programme\Winamp\Plugins\in_flac.dll
MOD - [2013.04.06 15:31:09 | 000,057,344 | ---- | M] () -- C:\Programme\Winamp\Plugins\gen_orgler.dll
MOD - [2013.04.06 15:31:09 | 000,027,648 | ---- | M] () -- C:\Programme\Winamp\Plugins\gen_hotkeys.dll
MOD - [2013.04.06 15:31:09 | 000,025,600 | ---- | M] () -- C:\Programme\Winamp\Plugins\gen_tray.dll
MOD - [2011.09.15 13:36:37 | 000,274,704 | ---- | M] () -- C:\Programme\COMODO\COMODO Internet Security\cavshell.dll
MOD - [2009.08.16 17:06:02 | 000,141,312 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2008.10.05 05:24:02 | 003,695,008 | ---- | M] () -- C:\Windows\System32\Macromed\Flash\NPSWF32.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2012.05.02 01:42:31 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.02 00:34:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.09.15 13:36:37 | 000,723,632 | ---- | M] (COMODO) [Auto | Running] -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)
SRV - [2009.09.25 15:38:16 | 000,312,784 | ---- | M] () [Auto | Running] -- C:\Programme\XSManager\WTGService.exe -- (WTGService)
SRV - [2009.09.17 18:37:04 | 000,125,200 | R--- | M] (4G Systems GmbH & Co. KG) [Auto | Running] -- C:\Windows\service4g.exe -- (XS Stick Service)
SRV - [2009.07.14 03:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009.07.14 03:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2013.04.05 14:27:58 | 000,552,960 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\netr73.sys -- (netr73)
DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.04.16 21:18:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.09.15 13:36:37 | 000,127,864 | ---- | M] (COMODO) [File_System | System | Running] -- C:\Windows\System32\drivers\cmdguard.sys -- (cmdGuard)
DRV - [2011.09.15 13:36:37 | 000,074,328 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\Windows\System32\drivers\inspect.sys -- (inspect)
DRV - [2011.09.15 13:36:37 | 000,029,520 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\Windows\System32\drivers\cmdhlp.sys -- (cmdHlp)
DRV - [2011.08.30 13:00:24 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.07.14 03:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2009.07.14 03:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2009.07.14 03:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2009.07.14 01:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2009.07.14 01:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2009.07.14 00:02:52 | 000,347,264 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvm62x32.sys -- (NVENETFD)
DRV - [2009.06.10 23:19:48 | 009,853,248 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2008.10.31 16:19:38 | 000,103,424 | ---- | M] (Mobile Connector) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\cmnsusbser.sys -- (cmnsusbser)
DRV - [2007.04.19 22:12:58 | 000,102,696 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\nvstor32.sys -- (nvstor32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\..\SearchScopes,DefaultScope =
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.08.26 11:24:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013.04.06 15:30:11 | 000,000,000 | ---D | M]
 
[2011.08.26 11:24:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Peter\AppData\Roaming\mozilla\Extensions
[2013.04.06 15:11:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Peter\AppData\Roaming\mozilla\Firefox\Profiles\1cg1rmfu.default\extensions
[2011.08.26 11:24:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.06.30 20:30:14 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\mozilla firefox\plugins\npwachk.dll
[2009.07.31 00:59:14 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2009.07.31 00:59:14 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2009.07.31 00:59:14 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2009.07.31 00:59:14 | 000,000,986 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2009.07.31 00:59:14 | 000,000,801 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Program Files\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4 - HKLM..\Run: [F5D7050v3] C:\Program Files\Belkin\F5D7050v3\Belkinwcui.exe File not found
O4 - HKLM..\Run: [starter4g] C:\Windows\starter4g.exe (4G Systems GmbH & Co. KG)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe (Nullsoft, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0BD116D7-E990-46E6-A0D1-A8FBEDD07288}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{94B14B8F-5A2B-4C6E-A0D3-7B8EDCE07D27}: NameServer = 156.154.70.25,156.154.71.25
O20 - AppInit_DLLs: (C:\Windows\system32\guard32.dll) - C:\Windows\System32\guard32.dll (COMODO)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - G:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006.12.30 01:26:40 | 000,000,000 | ---- | M] () - K:\AUTOEXEC.BAT -- [ FAT32 ]
O33 - MountPoints2\{8d096f29-cf3c-11e0-9411-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{8d096f29-cf3c-11e0-9411-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Setup.EXE
O33 - MountPoints2\{fc6f6d5b-cfc3-11e0-80b7-002197857c3c}\Shell - "" = AutoRun
O33 - MountPoints2\{fc6f6d5b-cfc3-11e0-80b7-002197857c3c}\Shell\AutoRun\command - "" = H:\autorun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.06 15:31:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winamp
[2013.04.06 15:30:11 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Winamp Erkennungs-Plug-in
[2013.04.06 15:30:11 | 000,000,000 | ---D | C] -- C:\Program Files\Winamp Detect
[2013.04.06 15:29:52 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Winamp
[2013.04.06 15:29:52 | 000,000,000 | ---D | C] -- C:\Program Files\Winamp
[2013.04.06 15:29:52 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\OpenCandy
[2013.04.06 15:23:09 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2013.04.06 15:15:15 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.04.06 15:14:56 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.04.06 15:14:54 | 000,000,000 | --SD | C] -- C:\32788R22FWJFW
[2013.04.06 15:10:43 | 005,047,402 | R--- | C] (Swearware) -- C:\Users\Peter\Desktop\ComboFix.exe
[2013.04.05 18:08:01 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2013.04.05 17:26:55 | 000,000,000 | ---D | C] -- C:\Users\Peter\Desktop\Virus stuff
[2013.04.05 14:45:45 | 000,000,000 | ---D | C] -- C:\Users\Peter\Documents\Cubase Projects
[2013.04.05 14:45:13 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\VST3 Presets
[2013.04.05 14:45:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Steinberg
[2013.04.05 14:37:25 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Avira
[2013.04.05 14:36:15 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2
[2013.04.05 14:36:15 | 000,000,000 | ---D | C] -- C:\Program Files\ASIO4ALL v2
[2013.04.05 14:35:47 | 002,395,648 | ---- | C] (AD © 2009) -- C:\Windows\System32\SYNSOEMU.DLL
[2013.04.05 14:34:53 | 016,138,240 | ---- | C] (Steinberg Media Technologies) -- C:\HALionOne.dll
[2013.04.05 14:34:42 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\VST3
[2013.04.05 14:31:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2013.04.05 14:30:53 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2013.04.05 14:30:51 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2013.04.05 14:30:51 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys
[2013.04.05 14:30:51 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.04.05 14:30:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013.04.05 14:30:50 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2013.04.05 14:28:58 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steinberg Cubase 5
[2013.04.05 14:28:58 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Steinberg
[2013.04.05 14:28:58 | 000,000,000 | ---D | C] -- C:\Program Files\Steinberg
[2013.04.05 14:28:17 | 000,552,960 | ---- | C] (Ralink Technology, Corp.) -- C:\Windows\System32\drivers\netr73.sys
[2013.04.05 14:28:17 | 000,221,184 | ---- | C] (Ralink Technology, Inc.) -- C:\Windows\System32\RaCoInst.dll
[2013.04.05 14:28:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Belkin
[2013.04.05 14:28:15 | 000,000,000 | -H-D | C] -- C:\Program Files\InstallShield Installation Information
[2013.04.05 14:28:05 | 000,000,000 | ---D | C] -- C:\Program Files\Belkin
[2011.08.30 13:25:55 | 000,233,472 | ---- | C] (Propellerhead Software AB) -- C:\Users\Peter\AppData\Roaming\REX Shared Library.dll
[2011.08.30 13:25:55 | 000,225,280 | ---- | C] (Propellerhead Software AB) -- C:\Users\Peter\AppData\Roaming\Rewire.dll
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.06 15:32:44 | 001,474,832 | ---- | M] () -- C:\Windows\System32\drivers\sfi.dat
[2013.04.06 15:31:09 | 000,000,937 | ---- | M] () -- C:\Users\Public\Desktop\Winamp.lnk
[2013.04.06 15:30:11 | 000,035,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.04.06 15:30:11 | 000,035,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.04.06 15:27:13 | 000,758,620 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.04.06 15:27:13 | 000,639,664 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.04.06 15:27:13 | 000,160,988 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.04.06 15:27:13 | 000,134,506 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.04.06 15:22:57 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.04.06 15:22:48 | 2415,357,952 | -HS- | M] () -- C:\hiberfil.sys
[2013.04.06 15:11:02 | 005,047,402 | R--- | M] (Swearware) -- C:\Users\Peter\Desktop\ComboFix.exe
[2013.04.05 14:36:18 | 000,001,051 | ---- | M] () -- C:\Users\Peter\Desktop\ASIO4ALL v2 Anleitung.lnk
[2013.04.05 14:31:49 | 000,002,012 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.04.05 14:29:24 | 000,002,016 | ---- | M] () -- C:\Users\Peter\Desktop\Cubase 5.lnk
[2013.04.05 14:27:58 | 000,552,960 | ---- | M] (Ralink Technology, Corp.) -- C:\Windows\System32\drivers\netr73.sys
[2013.04.05 14:27:58 | 000,221,184 | ---- | M] (Ralink Technology, Inc.) -- C:\Windows\System32\RaCoInst.dll
[2013.04.04 15:53:52 | 003,078,234 | ---- | M] () -- C:\Users\Peter\Desktop\Fick ins gesicht.mp3
 
========== Files Created - No Company Name ==========
 
[2013.04.06 15:31:09 | 000,000,937 | ---- | C] () -- C:\Users\Public\Desktop\Winamp.lnk
[2013.04.05 15:39:41 | 003,078,234 | ---- | C] () -- C:\Users\Peter\Desktop\Fick ins gesicht.mp3
[2013.04.05 14:36:18 | 000,001,051 | ---- | C] () -- C:\Users\Peter\Desktop\ASIO4ALL v2 Anleitung.lnk
[2013.04.05 14:31:49 | 000,002,012 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.04.05 14:29:24 | 000,002,016 | ---- | C] () -- C:\Users\Peter\Desktop\Cubase 5.lnk
[2013.04.05 14:28:16 | 000,200,704 | ---- | C] () -- C:\Windows\System32\UpdateDriver.exe
[2013.04.05 14:28:15 | 000,005,224 | ---- | C] () -- C:\Windows\System32\ucuiinfo.ini
[2011.09.15 13:34:35 | 000,001,321 | ---- | C] () -- C:\Windows\System32\.ini
[2011.08.26 11:38:36 | 001,474,832 | ---- | C] () -- C:\Windows\System32\drivers\sfi.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2009.07.14 03:16:14 | 012,866,560 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 03:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 03:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.08.30 13:23:10 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\DAEMON Tools Lite
[2013.04.06 15:30:05 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\OpenCandy
[2011.08.30 19:57:46 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\OpenOffice.org
[2011.09.11 14:25:49 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\Opera
[2011.08.30 13:36:37 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\Propellerhead Software
[2013.04.05 14:45:13 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\Steinberg
[2013.04.05 14:45:13 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\VST3 Presets
[2011.09.01 12:49:42 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\XSManager
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---

aharonov 06.04.2013 16:43
Ist Combofix denn normal durchgelaufen?
Versuch sonst bitte, Combofix noch einmal zu starten.

orezjunk 07.04.2013 16:32
Combofix Logfile:
Code:
ComboFix 13-04-06.02 - Peter 07.04.2013  17:19:17.1.4 - x86
Microsoft Windows 7 Professional  6.1.7600.0.1252.49.1031.18.3071.2272 [GMT 2:00]
ausgeführt von:: d:\downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Outdated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AV: COMODO Antivirus *Disabled/Updated* {A7500527-8708-6548-7035-7F679C5FCEA5}
FW: COMODO Firewall *Disabled* {9F6B8402-CD67-6410-5B6A-D652628C89DE}
SP: Avira Desktop *Disabled/Outdated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: COMODO Defense+ *Disabled/Updated* {1C31E4C3-A132-6AC6-4A85-4415E7D88418}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Peter\AppData\Roaming\Rewire.dll
c:\users\Peter\AppData\Roaming\REX Shared Library.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-03-07 bis 2013-04-07  ))))))))))))))))))))))))))))))
.
.
2013-04-07 15:23 . 2013-04-07 15:23        --------        d-----w-        c:\users\Peter\AppData\Local\temp
2013-04-07 15:23 . 2013-04-07 15:23        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-04-07 14:31 . 2013-04-07 14:31        693976        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-04-07 14:31 . 2013-04-07 14:31        73432        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2013-04-06 14:30 . 2013-04-06 14:30        --------        d-----w-        c:\programdata\PC Drivers HeadQuarters
2013-04-06 14:22 . 2013-04-06 14:22        --------        d-----w-        c:\program files\CCleaner
2013-04-06 14:19 . 2013-04-06 14:21        --------        d-----w-        c:\program files\VS Revo Group
2013-04-06 14:07 . 2013-04-06 14:07        --------        d-----w-        c:\program files\ASIO4ALL v2
2013-04-06 13:52 . 2013-04-06 13:52        --------        d-----w-        c:\users\Peter\AppData\Local\ElevatedDiagnostics
2013-04-06 13:49 . 2013-04-06 13:49        --------        d--h--w-        c:\program files\Temp
2013-04-06 13:31 . 2009-09-04 15:29        1892184        ----a-w-        c:\windows\system32\D3DX9_42.dll
2013-04-06 13:31 . 2006-09-28 14:05        2414360        ----a-w-        c:\windows\system32\d3dx9_31.dll
2013-04-06 13:29 . 2013-04-06 14:15        --------        d-----w-        c:\program files\Winamp
2013-04-06 13:29 . 2013-04-06 13:30        --------        d-----w-        c:\users\Peter\AppData\Roaming\OpenCandy
2013-04-05 16:08 . 2013-04-06 04:52        --------        d-----w-        C:\TDSSKiller_Quarantine
2013-04-05 12:28 . 2013-04-05 12:29        --------        d-----w-        c:\program files\Steinberg
2013-04-05 12:28 . 2013-04-05 12:27        552960        ----a-w-        c:\windows\system32\drivers\netr73.sys
2013-04-05 12:28 . 2013-04-05 12:27        221184        ----a-w-        c:\windows\system32\RaCoInst.dll
2013-04-05 12:28 . 2008-05-20 15:23        200704        ----a-w-        c:\windows\system32\UpdateDriver.exe
2013-04-05 12:28 . 2013-04-05 12:28        --------        d--h--w-        c:\program files\InstallShield Installation Information
2013-04-05 12:28 . 2013-04-05 12:28        --------        d-----w-        c:\program files\Belkin
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"starter4g"="c:\windows\starter4g.exe" [2009-09-17 157968]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-09-15 1800464]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\guard32.dll
.
R3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\DRIVERS\cmnsusbser.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [x]
S1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [x]
S2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 WTGService;WTGService;c:\program files\XSManager\WTGService.exe [x]
S2 XS Stick Service;XS Stick Service;c:\windows\service4g.exe [x]
S3 netr73;Belkin Wireless 54G USB Network Driver;c:\windows\system32\DRIVERS\netr73.sys [x]
.
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{94B14B8F-5A2B-4C6E-A0D3-7B8EDCE07D27}: NameServer = 156.154.70.25,156.154.71.25
FF - ProfilePath - c:\users\Peter\AppData\Roaming\Mozilla\Firefox\Profiles\1cg1rmfu.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-F5D7050v3 - c:\program files\Belkin\F5D7050v3\Belkinwcui.exe
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
.
.
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover
Windows 6.1.7600 Disk: WDC_WD50 rev.15.0 -> Harddisk0\DR0 -> \Device\00000062
.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
sectors 976773166 (+255): user != kernel
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'lsass.exe'(568)
c:\windows\system32\guard32.dll
.
Zeit der Fertigstellung: 2013-04-07  17:24:15
ComboFix-quarantined-files.txt  2013-04-07 15:24
.
Vor Suchlauf: 6 Verzeichnis(se), 32.812.904.448 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 33.030.713.344 Bytes frei
.
- - End Of File - - 1EFC6F058C2675E99DEF505E8FC154E1
--- --- ---


OTL Logfile:
Code:
OTL logfile created on: 07.04.2013 17:24:26 - Run 4
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Peter\Desktop\Virus stuff
 Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,25 Gb Available Physical Memory | 74,95% Memory free
6,00 Gb Paging File | 5,05 Gb Available in Paging File | 84,18% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 46,58 Gb Total Space | 30,82 Gb Free Space | 66,18% Space Free | Partition Type: NTFS
Drive D: | 41,92 Gb Total Space | 41,34 Gb Free Space | 98,63% Space Free | Partition Type: NTFS
Drive E: | 377,26 Gb Total Space | 340,62 Gb Free Space | 90,29% Space Free | Partition Type: NTFS
Drive F: | 100,00 Mb Total Space | 86,24 Mb Free Space | 86,25% Space Free | Partition Type: NTFS
Drive G: | 78,03 Gb Total Space | 1,51 Gb Free Space | 1,94% Space Free | Partition Type: NTFS
Drive H: | 390,62 Gb Total Space | 222,87 Gb Free Space | 57,05% Space Free | Partition Type: NTFS
Drive I: | 462,76 Gb Total Space | 60,43 Gb Free Space | 13,06% Space Free | Partition Type: NTFS
Drive K: | 148,22 Gb Total Space | 31,51 Gb Free Space | 21,26% Space Free | Partition Type: FAT32
Drive L: | 5,13 Gb Total Space | 0,16 Gb Free Space | 3,18% Space Free | Partition Type: NTFS
 
Computer Name: PETER-PC | User Name: Peter | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.04.05 16:30:14 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Peter\Desktop\Virus stuff\OTL.exe
PRC - [2012.05.02 01:42:31 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.02 00:34:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.02 00:31:38 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.04.24 02:11:59 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.09.15 13:36:37 | 001,800,464 | ---- | M] (COMODO) -- C:\Programme\COMODO\COMODO Internet Security\cfp.exe
PRC - [2011.09.15 13:36:37 | 000,723,632 | ---- | M] (COMODO) -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
PRC - [2009.09.25 15:38:16 | 000,312,784 | ---- | M] () -- C:\Programme\XSManager\WTGService.exe
PRC - [2009.09.17 18:37:48 | 000,157,968 | R--- | M] (4G Systems GmbH & Co. KG) -- C:\Windows\starter4g.exe
PRC - [2009.09.17 18:37:04 | 000,125,200 | R--- | M] (4G Systems GmbH & Co. KG) -- C:\Windows\service4g.exe
PRC - [2009.07.14 03:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.07.14 03:14:15 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Services (SafeList) ==========
 
SRV - [2012.05.02 01:42:31 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.02 00:34:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.09.15 13:36:37 | 000,723,632 | ---- | M] (COMODO) [Auto | Running] -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)
SRV - [2009.09.25 15:38:16 | 000,312,784 | ---- | M] () [Auto | Running] -- C:\Programme\XSManager\WTGService.exe -- (WTGService)
SRV - [2009.09.17 18:37:04 | 000,125,200 | R--- | M] (4G Systems GmbH & Co. KG) [Auto | Running] -- C:\Windows\service4g.exe -- (XS Stick Service)
SRV - [2009.07.14 03:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009.07.14 03:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Peter\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - [2013.04.05 14:27:58 | 000,552,960 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\netr73.sys -- (netr73)
DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.04.16 21:18:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.09.15 13:36:37 | 000,127,864 | ---- | M] (COMODO) [File_System | System | Running] -- C:\Windows\System32\drivers\cmdguard.sys -- (cmdGuard)
DRV - [2011.09.15 13:36:37 | 000,074,328 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\Windows\System32\drivers\inspect.sys -- (inspect)
DRV - [2011.09.15 13:36:37 | 000,029,520 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\Windows\System32\drivers\cmdhlp.sys -- (cmdHlp)
DRV - [2011.08.30 13:00:24 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.07.14 03:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2009.07.14 03:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2009.07.14 03:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2009.07.14 01:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2009.07.14 01:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2009.07.14 00:02:52 | 000,347,264 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvm62x32.sys -- (NVENETFD)
DRV - [2009.06.10 23:19:48 | 009,853,248 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2008.10.31 16:19:38 | 000,103,424 | ---- | M] (Mobile Connector) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\cmnsusbser.sys -- (cmnsusbser)
DRV - [2007.04.19 22:12:58 | 000,102,696 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\nvstor32.sys -- (nvstor32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\..\SearchScopes,DefaultScope =
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.08.26 11:24:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013.04.06 16:14:57 | 000,000,000 | ---D | M]
 
[2011.08.26 11:24:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Peter\AppData\Roaming\mozilla\Extensions
[2013.04.06 15:11:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Peter\AppData\Roaming\mozilla\Firefox\Profiles\1cg1rmfu.default\extensions
[2011.08.26 11:24:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2009.07.31 00:59:14 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2009.07.31 00:59:14 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2009.07.31 00:59:14 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2009.07.31 00:59:14 | 000,000,986 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2009.07.31 00:59:14 | 000,000,801 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2013.04.07 17:23:22 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Program Files\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4 - HKLM..\Run: [starter4g] C:\Windows\starter4g.exe (4G Systems GmbH & Co. KG)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0BD116D7-E990-46E6-A0D1-A8FBEDD07288}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{94B14B8F-5A2B-4C6E-A0D3-7B8EDCE07D27}: NameServer = 156.154.70.25,156.154.71.25
O20 - AppInit_DLLs: (C:\Windows\System32\guard32.dll) - C:\Windows\System32\guard32.dll (COMODO)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - G:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006.12.30 01:26:40 | 000,000,000 | ---- | M] () - K:\AUTOEXEC.BAT -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.07 17:24:18 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2013.04.07 17:24:17 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013.04.07 17:24:16 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Local\temp
[2013.04.07 17:14:18 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.04.07 17:14:18 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.04.07 17:14:18 | 000,060,416 | R--- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.04.06 16:44:13 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2013.04.06 16:30:30 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Drivers HeadQuarters
[2013.04.06 16:22:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
[2013.04.06 16:22:55 | 000,000,000 | ---D | C] -- C:\Program Files\CCleaner
[2013.04.06 16:19:15 | 000,000,000 | ---D | C] -- C:\Program Files\VS Revo Group
[2013.04.06 16:07:40 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2
[2013.04.06 16:07:40 | 000,000,000 | ---D | C] -- C:\Program Files\ASIO4ALL v2
[2013.04.06 15:52:08 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Local\ElevatedDiagnostics
[2013.04.06 15:49:16 | 000,000,000 | -H-D | C] -- C:\Program Files\Temp
[2013.04.06 15:29:52 | 000,000,000 | ---D | C] -- C:\Program Files\Winamp
[2013.04.06 15:29:52 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\OpenCandy
[2013.04.06 15:15:15 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.04.06 15:14:56 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.04.05 18:08:01 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2013.04.05 17:26:55 | 000,000,000 | ---D | C] -- C:\Users\Peter\Desktop\Virus stuff
[2013.04.05 14:45:45 | 000,000,000 | ---D | C] -- C:\Users\Peter\Documents\Cubase Projects
[2013.04.05 14:45:13 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\VST3 Presets
[2013.04.05 14:45:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Steinberg
[2013.04.05 14:37:25 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Avira
[2013.04.05 14:35:47 | 002,395,648 | ---- | C] (AD © 2009) -- C:\Windows\System32\SYNSOEMU.DLL
[2013.04.05 14:34:53 | 016,138,240 | ---- | C] (Steinberg Media Technologies) -- C:\HALionOne.dll
[2013.04.05 14:34:42 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\VST3
[2013.04.05 14:31:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2013.04.05 14:30:53 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2013.04.05 14:30:51 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2013.04.05 14:30:51 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys
[2013.04.05 14:30:51 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.04.05 14:30:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013.04.05 14:30:50 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2013.04.05 14:28:58 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steinberg Cubase 5
[2013.04.05 14:28:58 | 000,000,000 | ---D | C] -- C:\Users\Peter\AppData\Roaming\Steinberg
[2013.04.05 14:28:58 | 000,000,000 | ---D | C] -- C:\Program Files\Steinberg
[2013.04.05 14:28:17 | 000,552,960 | ---- | C] (Ralink Technology, Corp.) -- C:\Windows\System32\drivers\netr73.sys
[2013.04.05 14:28:17 | 000,221,184 | ---- | C] (Ralink Technology, Inc.) -- C:\Windows\System32\RaCoInst.dll
[2013.04.05 14:28:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Belkin
[2013.04.05 14:28:15 | 000,000,000 | -H-D | C] -- C:\Program Files\InstallShield Installation Information
[2013.04.05 14:28:05 | 000,000,000 | ---D | C] -- C:\Program Files\Belkin
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.07 17:23:22 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2013.04.07 17:17:35 | 001,474,832 | ---- | M] () -- C:\Windows\System32\drivers\sfi.dat
[2013.04.07 17:16:48 | 000,859,238 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.04.07 17:16:48 | 000,668,252 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.04.07 17:16:48 | 000,191,438 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.04.07 17:16:48 | 000,161,750 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.04.07 09:35:01 | 000,035,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.04.07 09:35:01 | 000,035,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.04.07 09:27:47 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.04.07 09:27:40 | 2415,357,952 | -HS- | M] () -- C:\hiberfil.sys
[2013.04.06 16:22:56 | 000,000,965 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2013.04.06 16:07:43 | 000,001,051 | ---- | M] () -- C:\Users\Peter\Desktop\ASIO4ALL v2 Anleitung.lnk
[2013.04.05 14:31:49 | 000,002,012 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.04.05 14:29:24 | 000,002,016 | ---- | M] () -- C:\Users\Peter\Desktop\Cubase 5.lnk
[2013.04.05 14:27:58 | 000,552,960 | ---- | M] (Ralink Technology, Corp.) -- C:\Windows\System32\drivers\netr73.sys
[2013.04.05 14:27:58 | 000,221,184 | ---- | M] (Ralink Technology, Inc.) -- C:\Windows\System32\RaCoInst.dll
 
========== Files Created - No Company Name ==========
 
[2013.04.07 17:14:18 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.04.07 17:14:18 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.04.07 17:14:18 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013.04.07 17:14:18 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013.04.07 17:14:18 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2013.04.06 16:22:56 | 000,000,965 | ---- | C] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2013.04.06 16:07:43 | 000,001,051 | ---- | C] () -- C:\Users\Peter\Desktop\ASIO4ALL v2 Anleitung.lnk
[2013.04.05 14:31:49 | 000,002,012 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.04.05 14:29:24 | 000,002,016 | ---- | C] () -- C:\Users\Peter\Desktop\Cubase 5.lnk
[2013.04.05 14:28:16 | 000,200,704 | ---- | C] () -- C:\Windows\System32\UpdateDriver.exe
[2013.04.05 14:28:15 | 000,005,224 | ---- | C] () -- C:\Windows\System32\ucuiinfo.ini
[2011.09.15 13:34:35 | 000,001,321 | ---- | C] () -- C:\Windows\System32\.ini
[2011.08.26 11:38:36 | 001,474,832 | ---- | C] () -- C:\Windows\System32\drivers\sfi.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2009.07.14 03:16:14 | 012,866,560 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 03:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 03:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.08.30 13:23:10 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\DAEMON Tools Lite
[2013.04.06 15:30:05 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\OpenCandy
[2011.08.30 19:57:46 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\OpenOffice.org
[2011.09.11 14:25:49 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\Opera
[2011.08.30 13:36:37 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\Propellerhead Software
[2013.04.05 14:45:13 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\Steinberg
[2013.04.05 14:45:13 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\VST3 Presets
[2011.09.01 12:49:42 | 000,000,000 | ---D | M] -- C:\Users\Peter\AppData\Roaming\XSManager
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---

wie siehts aus?

aharonov 07.04.2013 16:56
Hi,

Zitat:
user != kernel MBR !!!
sectors 976773166 (+255): user != kernel
Dem muss man nachgehen.


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:
Variante 1 - Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während des Hochfahrens drücke mehrmals die F8 Taste.
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und boote von der CD.
  • Wähle die Spracheinstellungen und klicke Weiter.
  • Klicke auf Computerreparaturoptionen.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
  • Gib nun bitte notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.
  • Gib nun bitte folgenden Befehl ein und drücke Enter:
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan.
Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Log von FRST

orezjunk 08.04.2013 10:48
Combofix Logfile:
Code:
ComboFix 13-04-06.02 - Peter 07.04.2013  17:19:17.1.4 - x86
Microsoft Windows 7 Professional  6.1.7600.0.1252.49.1031.18.3071.2272 [GMT 2:00]
ausgeführt von:: d:\downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Outdated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AV: COMODO Antivirus *Disabled/Updated* {A7500527-8708-6548-7035-7F679C5FCEA5}
FW: COMODO Firewall *Disabled* {9F6B8402-CD67-6410-5B6A-D652628C89DE}
SP: Avira Desktop *Disabled/Outdated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: COMODO Defense+ *Disabled/Updated* {1C31E4C3-A132-6AC6-4A85-4415E7D88418}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Peter\AppData\Roaming\Rewire.dll
c:\users\Peter\AppData\Roaming\REX Shared Library.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-03-07 bis 2013-04-07  ))))))))))))))))))))))))))))))
.
.
2013-04-07 15:23 . 2013-04-07 15:23        --------        d-----w-        c:\users\Peter\AppData\Local\temp
2013-04-07 15:23 . 2013-04-07 15:23        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-04-07 14:31 . 2013-04-07 14:31        693976        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-04-07 14:31 . 2013-04-07 14:31        73432        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2013-04-06 14:30 . 2013-04-06 14:30        --------        d-----w-        c:\programdata\PC Drivers HeadQuarters
2013-04-06 14:22 . 2013-04-06 14:22        --------        d-----w-        c:\program files\CCleaner
2013-04-06 14:19 . 2013-04-06 14:21        --------        d-----w-        c:\program files\VS Revo Group
2013-04-06 14:07 . 2013-04-06 14:07        --------        d-----w-        c:\program files\ASIO4ALL v2
2013-04-06 13:52 . 2013-04-06 13:52        --------        d-----w-        c:\users\Peter\AppData\Local\ElevatedDiagnostics
2013-04-06 13:49 . 2013-04-06 13:49        --------        d--h--w-        c:\program files\Temp
2013-04-06 13:31 . 2009-09-04 15:29        1892184        ----a-w-        c:\windows\system32\D3DX9_42.dll
2013-04-06 13:31 . 2006-09-28 14:05        2414360        ----a-w-        c:\windows\system32\d3dx9_31.dll
2013-04-06 13:29 . 2013-04-06 14:15        --------        d-----w-        c:\program files\Winamp
2013-04-06 13:29 . 2013-04-06 13:30        --------        d-----w-        c:\users\Peter\AppData\Roaming\OpenCandy
2013-04-05 16:08 . 2013-04-06 04:52        --------        d-----w-        C:\TDSSKiller_Quarantine
2013-04-05 12:28 . 2013-04-05 12:29        --------        d-----w-        c:\program files\Steinberg
2013-04-05 12:28 . 2013-04-05 12:27        552960        ----a-w-        c:\windows\system32\drivers\netr73.sys
2013-04-05 12:28 . 2013-04-05 12:27        221184        ----a-w-        c:\windows\system32\RaCoInst.dll
2013-04-05 12:28 . 2008-05-20 15:23        200704        ----a-w-        c:\windows\system32\UpdateDriver.exe
2013-04-05 12:28 . 2013-04-05 12:28        --------        d--h--w-        c:\program files\InstallShield Installation Information
2013-04-05 12:28 . 2013-04-05 12:28        --------        d-----w-        c:\program files\Belkin
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"starter4g"="c:\windows\starter4g.exe" [2009-09-17 157968]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-09-15 1800464]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\guard32.dll
.
R3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\DRIVERS\cmnsusbser.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [x]
S1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [x]
S2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 WTGService;WTGService;c:\program files\XSManager\WTGService.exe [x]
S2 XS Stick Service;XS Stick Service;c:\windows\service4g.exe [x]
S3 netr73;Belkin Wireless 54G USB Network Driver;c:\windows\system32\DRIVERS\netr73.sys [x]
.
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{94B14B8F-5A2B-4C6E-A0D3-7B8EDCE07D27}: NameServer = 156.154.70.25,156.154.71.25
FF - ProfilePath - c:\users\Peter\AppData\Roaming\Mozilla\Firefox\Profiles\1cg1rmfu.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-F5D7050v3 - c:\program files\Belkin\F5D7050v3\Belkinwcui.exe
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
.
.
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover
Windows 6.1.7600 Disk: WDC_WD50 rev.15.0 -> Harddisk0\DR0 -> \Device\00000062
.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
sectors 976773166 (+255): user != kernel
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'lsass.exe'(568)
c:\windows\system32\guard32.dll
.
Zeit der Fertigstellung: 2013-04-07  17:24:15
ComboFix-quarantined-files.txt  2013-04-07 15:24
.
Vor Suchlauf: 6 Verzeichnis(se), 32.812.904.448 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 33.030.713.344 Bytes frei
.
- - End Of File - - 1EFC6F058C2675E99DEF505E8FC154E1
--- --- ---

aharonov 08.04.2013 12:11
Hi,

du hast hier noch einmal das alte Combofix-Log und nicht dasjenige von FRST gepostet. :)
Bitte das FRST-Log noch nachreichen.

orezjunk 08.04.2013 18:10
ja ich weeß hab erstmal windows 7 runtergeladen das combo fix hab ich nur verplant aber ich hab eben probiert was du geschrieben hast.
Aber das mit dem programm funzt irgendwie nicht die eingabeaufforderung sagt mir das ein subsystem nicht vorhanden sei...

gibts das tool auch für 64 bit?

aharonov 08.04.2013 18:32
Bei welchem Schritt kommt diese Fehlermeldung genau? Und kannst du bitte deren präzisen Wortlaut angeben?

Zitat:
gibts das tool auch für 64 bit?
Ja, aber bei dir ist's doch ein 32-bit System..?

orezjunk 08.04.2013 18:43
Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 13-03-2013 (ATTENTION: FRST version is 26 days old)
Ran by SYSTEM at 08-04-2013 19:38:10
Running from H:\
Windows 7 Professional (X64) OS Language: German Standard
The current controlset is ControlSet003

ATTENTION!:=====> THE OPERATING SYSTEM IS A X86 SYSTEM BUT THE BOOT DISK THAT IS USED TO BOOT TO RECOVERY ENVIRONMENT IS A X64 SYSTEM DISK.
==================== Registry (Whitelisted) ===================

HKLM\...\Run: [WinampAgent] D:\programme\winaamp\Winamp\winampa.exe [x]
HKLM\...\Run: [] [x]
HKLM\...\Run: [avgnt] "D:\programme\Avira\AntiVir Desktop\avgnt.exe" /min [x]
HKLM\...\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe" [2598520 2012-11-19] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [Ocs_SM] C:\Users\Mr. Karben\AppData\Roaming\OCS\SM\SearchAnonymizer.exe [106496 2013-02-17] (OCS)
HKLM\...\Run: [F5D7050v3] C:\Program Files\Belkin\F5D7050v3\Belkinwcui.exe [x]
HKU\Mr. Karben\...\Run: [DAEMON Tools Lite] "D:\programme\DAEMON Tools Lite\DTLite.exe" -autorun [x]
HKU\Mr. Karben\...\Run: [Zoner Photo Studio Autoupdate] C:\Program Files\Zoner\Photo Studio 15\Program32\ZPSTRAY.EXE [773728 2012-12-04] (ZONER software)
HKU\Mr. Karben\...\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe" [545552 2012-12-16] (SANDBOXIE L.T.D)
HKLM-x32\...\Winlogon: [Userinit] [x]
HKLM-x32\...\Winlogon: [Shell] [x ] ()

==================== Services (Whitelisted) ===================

2 AddonsHelper; C:\Users\Mr. Karben\AppData\Local\Temp\OCS\Downloads\0674e23d6502b36621d489f1b4fbd22a\8a2438a7aa1e858526caff1f4deab159\AddonsHelper.exe [896512 2013-02-17] ()
3 AdobeFlashPlayerUpdateSvc; C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [253088 2012-04-27] (Adobe Systems Incorporated)
3 aspnet_state; C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe [35160 2010-03-18] (Microsoft Corporation)
2 AVGIDSAgent; "C:\Program Files\AVG\AVG2012\avgidsagent.exe" [5174392 2012-11-02] (AVG Technologies CZ, s.r.o.)
2 avgwd; "C:\Program Files\AVG\AVG2012\avgwdsvc.exe" [193288 2012-02-14] (AVG Technologies CZ, s.r.o.)
3 FLEXnet Licensing Service; "C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe" [655624 2012-11-10] (Acresso Software Inc.)
3 FontCache3.0.0.0; C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [42856 2009-06-10] (Microsoft Corporation)
2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [116648 2013-03-23] (Google Inc.)
3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [116648 2013-03-23] (Google Inc.)
3 gusvc; "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe" [136120 2011-05-09] (Google)
4 Hamachi2Svc; "C:\Program Files\LogMeIn Hamachi\hamachi-2.exe" -s [1373576 2012-02-28] (LogMeIn Inc.)
4 IDriverT; "C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe" [73728 2004-10-22] (Macrovision Corporation)
3 idsvc; "C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe" [878416 2009-06-10] (Microsoft Corporation)
4 McComponentHostService; "C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe" [227232 2010-01-15] (McAfee, Inc.)
3 MozillaMaintenance; C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe [115608 2013-03-22] (Mozilla Foundation)
4 NAUpdate; "C:\Program Files\Nero\Update\NASvc.exe" [690472 2011-07-22] (Nero AG)
4 NetMsmqActivator; "C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe" -NetMsmqActivator [124240 2010-03-18] (Microsoft Corporation)
4 NetPipeActivator; C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe [124240 2010-03-18] (Microsoft Corporation)
4 NetTcpActivator; C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe [124240 2010-03-18] (Microsoft Corporation)
4 NetTcpPortSharing; C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe [124240 2010-03-18] (Microsoft Corporation)
2 SbieSvc; "C:\Program Files\Sandboxie\SbieSvc.exe" [85776 2012-12-16] (SANDBOXIE L.T.D)
4 SkypeUpdate; "C:\Program Files\Skype\Updater\Updater.exe" [158856 2012-02-29] (Skype Technologies)
4 SwitchBoard; "C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [517096 2010-02-19] (Adobe Systems Incorporated)
4 TeamViewer6; C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe [2280312 2011-04-15] (TeamViewer GmbH)
4 WTGService; C:\Program Files\XSManager\WTGService.exe [312784 2009-09-25] ()
4 XS Stick Service; C:\Windows\service4g.exe [125200 2009-09-17] (4G Systems GmbH & Co. KG)
2 AntiVirSchedulerService; "C:\programme\Avira\AntiVir Desktop\sched.exe" [x]
2 AntiVirService; "C:\programme\Avira\AntiVir Desktop\avguard.exe" [x]

==================== Drivers (Whitelisted) =====================

3 AVGIDSDriver; C:\Windows\System32\DRIVERS\avgidsdriverx.sys [142176 2012-12-10] (AVG Technologies CZ, s.r.o. )
3 AVGIDSFilter; C:\Windows\System32\DRIVERS\avgidsfilterx.sys [24144 2011-12-23] (AVG Technologies CZ, s.r.o. )
0 AVGIDSHX; C:\Windows\System32\Drivers\AVGIDSHX.sys [24896 2012-04-19] (AVG Technologies CZ, s.r.o. )
3 AVGIDSShim; C:\Windows\System32\DRIVERS\avgidsshimx.sys [17232 2011-12-23] (AVG Technologies CZ, s.r.o. )
1 Avgldx86; C:\Windows\System32\Drivers\Avgldx86.sys [250080 2012-11-08] (AVG Technologies CZ, s.r.o.)
1 Avgmfx86; C:\Windows\System32\Drivers\Avgmfx86.sys [41040 2011-12-23] (AVG Technologies CZ, s.r.o.)
2 avgntflt; C:\Windows\System32\Drivers\avgntflt.sys [83392 2012-04-24] (Avira GmbH)
0 Avgrkx86; C:\Windows\System32\Drivers\Avgrkx86.sys [31952 2012-01-31] (AVG Technologies CZ, s.r.o.)
1 Avgtdix; C:\Windows\System32\Drivers\Avgtdix.sys [301920 2012-08-24] (AVG Technologies CZ, s.r.o.)
1 avipbb; C:\Windows\System32\Drivers\avipbb.sys [137928 2012-04-27] (Avira GmbH)
1 avkmgr; C:\Windows\System32\Drivers\avkmgr.sys [36000 2012-04-16] (Avira GmbH)
3 b06bdrv; C:\Windows\system32\DRIVERS\bxvbdx.sys [430080 2009-07-13] (Broadcom Corporation)
3 b57nd60x; C:\Windows\System32\Drivers\b57nd60x.sys [229888 2009-07-13] (Broadcom Corporation)
3 BCD2000; C:\Windows\System32\Drivers\BCD2000.sys [39648 2012-01-04] (Behringer Spezielle Studiotechnik GmbH)
3 BCD2000WDM; C:\Windows\System32\Drivers\BCD2000WDM.sys [21600 2012-01-04] (Behringer Spezielle Studiotechnik GmbH)
3 cmnsusbser; C:\Windows\System32\Drivers\cmnsusbser.sys [103424 2008-10-31] (Mobile Connector)
1 dtsoftbus01; C:\Windows\System32\Drivers\dtsoftbus01.sys [232512 2011-09-13] (DT Soft Ltd)
3 ebdrv; C:\Windows\system32\DRIVERS\evbdx.sys [3100160 2009-07-13] (Broadcom Corporation)
1 ISODrive; \??\C:\Program Files\UltraISO\drivers\ISODrive.sys [82320 2010-01-29] (EZB Systems, Inc.)
3 MTsensor; C:\Windows\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
3 netr73; C:\Windows\System32\Drivers\netr73.sys [552960 2013-03-28] (Ralink Technology, Corp.)
3 NVENETFD; C:\Windows\System32\DRIVERS\nvm62x32.sys [347264 2009-07-13] (NVIDIA Corporation)
3 SbieDrv; \??\C:\Program Files\Sandboxie\SbieDrv.sys [157776 2012-12-16] (SANDBOXIE L.T.D)
1 ssmdrv; C:\Windows\System32\Drivers\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)

==================== NetSvcs (Whitelisted) ====================


==================== One Month Created Files and Folders ========

2013-04-06 14:03 - 2013-04-06 14:03 - 00000363 ____A C:\AdwCleaner[S3].txt
2013-04-06 13:57 - 2013-04-06 13:57 - 00000363 ____A C:\AdwCleaner[S2].txt
2013-04-06 13:55 - 2013-04-06 13:57 - 00000120 ____A C:\Windows\DeleteOnReboot.bat
2013-04-06 13:55 - 2013-04-06 13:55 - 00000403 ____A C:\AdwCleaner[S1].txt
2013-04-06 13:54 - 2013-04-06 13:54 - 00014821 ____A C:\AdwCleaner[R1].txt
2013-04-06 13:51 - 2013-04-06 13:51 - 05047402 ____A (Swearware) C:\Users\Mr. Karben\Desktop\ComboFix.exe
2013-04-06 13:51 - 2013-04-06 13:51 - 00613083 ____A C:\Users\Mr. Karben\Desktop\adwcleaner.exe
2013-04-06 05:59 - 2013-04-06 06:00 - 00032329 ____A C:\Users\Mr. Karben\Desktop\TDSkiller2.txt
2013-04-05 05:22 - 2013-04-05 05:22 - 00076719 ____A C:\Users\Mr. Karben\Desktop\mbr2.txt
2013-04-05 05:22 - 2013-04-05 05:22 - 00049589 ____A C:\Users\Mr. Karben\Desktop\mbr3.txt
2013-04-05 05:18 - 2013-04-05 05:22 - 00191253 ____A C:\Users\Mr. Karben\Desktop\mbr data.txt
2013-04-05 04:46 - 2013-04-05 05:24 - 00064947 ____A C:\Users\Mr. Karben\Desktop\mbr1.log
2013-04-05 00:12 - 2013-04-05 00:12 - 00002991 ____A C:\Users\Mr. Karben\Desktop\HiJackThis.lnk
2013-04-05 00:12 - 2013-04-05 00:12 - 00000000 ____D C:\Program Files\Trend Micro
2013-04-04 20:17 - 2013-04-04 20:18 - 00003892 ____A C:\Users\Gast\Documents\TombRaider.log
2013-04-04 20:17 - 2013-04-04 20:17 - 00000000 ____D C:\Users\Gast\AppData\Local\SKIDROW
2013-04-03 05:36 - 2013-04-03 06:25 - 00001892 ____A C:\Users\Public\Desktop\NFix_2013-04-03_06-36-18.log
2013-04-03 05:33 - 2013-04-03 05:33 - 00000020 ___SH C:\Users\Gast\ntuser.ini
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Vorlagen
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Startmenü
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Netzwerkumgebung
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Lokale Einstellungen
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Eigene Dateien
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Druckumgebung
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Documents\Eigene Musik
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Documents\Eigene Bilder
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\AppData\Local\Verlauf
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\AppData\Local\Anwendungsdaten
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Anwendungsdaten
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 ____D C:\Users\Gast\AppData\Roaming\AVG2012
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 ____D C:\Users\Gast\AppData\Local\VirtualStore
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 ____D C:\users\Gast
2013-04-03 05:33 - 2013-02-02 23:02 - 00000000 ____D C:\Users\Gast\AppData\Roaming\TuneUp Software
2013-04-03 05:33 - 2011-05-10 16:56 - 00000000 ____D C:\Users\Gast\AppData\Roaming\Macromedia
2013-04-03 05:07 - 2013-04-03 05:07 - 00001186 ____A C:\Users\Public\Desktop\NFix_2013-04-03_06-07-00.log
2013-04-03 04:40 - 2013-04-04 23:49 - 00000000 ____D C:\Users\Mr. Karben\Desktop\DD
2013-04-03 04:15 - 2013-04-03 04:15 - 00377856 ____A C:\gmer_2.1.19155.exe
2013-03-28 17:59 - 2013-03-28 17:59 - 00007611 ____A C:\Users\Mr. Karben\AppData\Local\Resmon.ResmonCfg
2013-03-28 13:09 - 2013-04-04 14:51 - 00000000 ____D C:\Users\Mr. Karben\Documents\Cubase Projects
2013-03-28 13:09 - 2013-03-28 13:09 - 00000000 ____D C:\Users\Mr. Karben\AppData\Roaming\VST3 Presets
2013-03-28 13:09 - 2013-03-28 13:09 - 00000000 ____D C:\ProgramData\Steinberg
2013-03-28 13:08 - 2013-03-28 13:08 - 00000000 ____D C:\Program Files\Common Files\VST3
2013-03-28 13:08 - 2009-12-19 11:18 - 02395648 ____A (AD © 2009) C:\Windows\System32\SYNSOEMU.DLL
2013-03-28 13:08 - 2007-08-24 13:24 - 16138240 ____A (Steinberg Media Technologies) C:\HALionOne.dll
2013-03-28 12:53 - 2013-03-28 12:53 - 00002026 ____A C:\Users\Mr. Karben\Desktop\Cubase 5.lnk
2013-03-28 12:52 - 2013-03-28 13:09 - 00000000 ____D C:\Users\Mr. Karben\AppData\Roaming\Steinberg
2013-03-28 12:52 - 2013-03-28 12:53 - 00000000 ____D C:\Program Files\Steinberg
2013-03-28 12:28 - 2013-03-28 12:28 - 00000000 ___RD C:\Sandbox
2013-03-28 12:25 - 2013-03-30 09:01 - 00001490 ____A C:\Windows\Sandboxie.ini
2013-03-28 12:25 - 2013-03-28 12:25 - 00001067 ____A C:\Users\Mr. Karben\Desktop\Sandboxed Web Browser.lnk
2013-03-28 12:25 - 2013-03-28 12:25 - 00000000 ____D C:\Program Files\Sandboxie
2013-03-28 12:24 - 2013-03-28 12:24 - 02565392 ____A (SANDBOXIE L.T.D) C:\Users\Mr. Karben\Downloads\SandboxieInstall.exe
2013-03-28 12:07 - 2013-03-28 12:07 - 00552960 ____A (Ralink Technology, Corp.) C:\Windows\System32\Drivers\netr73.sys
2013-03-28 12:07 - 2013-03-28 12:07 - 00221184 ____A (Ralink Technology, Inc.) C:\Windows\System32\RaCoInst.dll
2013-03-28 12:07 - 2013-03-28 12:07 - 00000000 ____D C:\Users\Mr. Karben\AppData\Roaming\InstallShield
2013-03-28 12:07 - 2013-03-28 12:07 - 00000000 ____D C:\Program Files\Belkin
2013-03-28 12:07 - 2009-11-18 10:40 - 00005224 ____A C:\Windows\System32\ucuiinfo.ini
2013-03-28 12:07 - 2008-05-20 17:23 - 00200704 ____A () C:\Windows\System32\UpdateDriver.exe
2013-03-23 09:55 - 2013-04-01 22:59 - 00002129 ____A C:\Users\Public\Desktop\Google Chrome.lnk
2013-03-23 09:53 - 2013-04-06 13:58 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-03-23 09:53 - 2013-04-06 13:43 - 00001102 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-03-22 12:42 - 2013-03-22 12:42 - 00000000 ____D C:\Users\Mr. Karben\AppData\Local\SKIDROW
2013-03-22 12:38 - 2013-04-04 22:53 - 00017036 ____A C:\Users\Mr. Karben\Documents\TombRaider.log
2013-03-22 12:08 - 2013-03-22 12:09 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-03-22 11:55 - 2013-03-22 11:55 - 00002039 ____A C:\Users\Public\Desktop\Tombraider.lnk
2013-03-22 11:48 - 2013-03-22 11:48 - 00000000 ____D C:\Program Files\SQUARE ENIX


==================== One Month Modified Files and Folders =======

2013-04-06 14:05 - 2010-10-30 12:55 - 01494760 ____A C:\Windows\WindowsUpdate.log
2013-04-06 14:03 - 2013-04-06 14:03 - 00000363 ____A C:\AdwCleaner[S3].txt
2013-04-06 13:58 - 2013-03-23 09:53 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-04-06 13:57 - 2013-04-06 13:57 - 00000363 ____A C:\AdwCleaner[S2].txt
2013-04-06 13:57 - 2013-04-06 13:55 - 00000120 ____A C:\Windows\DeleteOnReboot.bat
2013-04-06 13:55 - 2013-04-06 13:55 - 00000403 ____A C:\AdwCleaner[S1].txt
2013-04-06 13:54 - 2013-04-06 13:54 - 00014821 ____A C:\AdwCleaner[R1].txt
2013-04-06 13:51 - 2013-04-06 13:51 - 05047402 ____A (Swearware) C:\Users\Mr. Karben\Desktop\ComboFix.exe
2013-04-06 13:51 - 2013-04-06 13:51 - 00613083 ____A C:\Users\Mr. Karben\Desktop\adwcleaner.exe
2013-04-06 13:51 - 2009-07-14 05:34 - 00014032 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-04-06 13:51 - 2009-07-14 05:34 - 00014032 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-04-06 13:48 - 2010-10-30 13:50 - 01611160 ____A C:\Windows\System32\PerfStringBackup.INI
2013-04-06 13:48 - 2009-07-14 09:47 - 00696132 ____A C:\Windows\System32\perfh007.dat
2013-04-06 13:48 - 2009-07-14 09:47 - 00147428 ____A C:\Windows\System32\perfc007.dat
2013-04-06 13:43 - 2013-03-23 09:53 - 00001102 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-04-06 13:43 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-04-06 13:43 - 2009-07-14 05:39 - 00093674 ____A C:\Windows\setupact.log
2013-04-06 08:13 - 2012-04-27 10:51 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-04-06 06:00 - 2013-04-06 05:59 - 00032329 ____A C:\Users\Mr. Karben\Desktop\TDSkiller2.txt
2013-04-06 05:57 - 2010-10-30 14:21 - 00000000 ____D C:\Windows\System32\Drivers\AVG
2013-04-05 07:15 - 2010-11-25 20:01 - 00000000 ____D C:\Users\Mr. Karben\AppData\Roaming\Winamp
2013-04-05 07:14 - 2013-02-17 15:08 - 00000000 ____D C:\Users\Mr. Karben\AppData\Local\CrashDumps
2013-04-05 05:24 - 2013-04-05 04:46 - 00064947 ____A C:\Users\Mr. Karben\Desktop\mbr1.log
2013-04-05 05:22 - 2013-04-05 05:22 - 00076719 ____A C:\Users\Mr. Karben\Desktop\mbr2.txt
2013-04-05 05:22 - 2013-04-05 05:22 - 00049589 ____A C:\Users\Mr. Karben\Desktop\mbr3.txt
2013-04-05 05:22 - 2013-04-05 05:18 - 00191253 ____A C:\Users\Mr. Karben\Desktop\mbr data.txt
2013-04-05 00:12 - 2013-04-05 00:12 - 00002991 ____A C:\Users\Mr. Karben\Desktop\HiJackThis.lnk
2013-04-05 00:12 - 2013-04-05 00:12 - 00000000 ____D C:\Program Files\Trend Micro
2013-04-04 23:49 - 2013-04-03 04:40 - 00000000 ____D C:\Users\Mr. Karben\Desktop\DD
2013-04-04 22:53 - 2013-03-22 12:38 - 00017036 ____A C:\Users\Mr. Karben\Documents\TombRaider.log
2013-04-04 20:18 - 2013-04-04 20:17 - 00003892 ____A C:\Users\Gast\Documents\TombRaider.log
2013-04-04 20:17 - 2013-04-04 20:17 - 00000000 ____D C:\Users\Gast\AppData\Local\SKIDROW
2013-04-04 14:51 - 2013-03-28 13:09 - 00000000 ____D C:\Users\Mr. Karben\Documents\Cubase Projects
2013-04-03 20:37 - 2011-04-13 16:58 - 00169952 ____A C:\Windows\PFRO.log
2013-04-03 06:25 - 2013-04-03 05:36 - 00001892 ____A C:\Users\Public\Desktop\NFix_2013-04-03_06-36-18.log
2013-04-03 05:33 - 2013-04-03 05:33 - 00000020 ___SH C:\Users\Gast\ntuser.ini
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Vorlagen
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Startmenü
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Netzwerkumgebung
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Lokale Einstellungen
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Eigene Dateien
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Druckumgebung
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Documents\Eigene Musik
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Documents\Eigene Bilder
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\AppData\Local\Verlauf
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\AppData\Local\Anwendungsdaten
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 __SHD C:\Users\Gast\Anwendungsdaten
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 ____D C:\Users\Gast\AppData\Roaming\AVG2012
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 ____D C:\Users\Gast\AppData\Local\VirtualStore
2013-04-03 05:33 - 2013-04-03 05:33 - 00000000 ____D C:\users\Gast
2013-04-03 05:07 - 2013-04-03 05:07 - 00001186 ____A C:\Users\Public\Desktop\NFix_2013-04-03_06-07-00.log
2013-04-03 04:15 - 2013-04-03 04:15 - 00377856 ____A C:\gmer_2.1.19155.exe
2013-04-02 20:44 - 2010-10-30 13:45 - 00000000 ____D C:\users\Mr. Karben
2013-04-01 22:59 - 2013-03-23 09:55 - 00002129 ____A C:\Users\Public\Desktop\Google Chrome.lnk
2013-04-01 07:49 - 2012-02-27 11:33 - 00000000 ____D C:\Program Files\epson
2013-03-31 18:50 - 2011-09-18 19:46 - 00000000 ___HD C:\Program Files\InstallShield Installation Information
2013-03-31 18:50 - 2011-09-18 19:45 - 00000000 ____D C:\Program Files\Common Files\InstallShield
2013-03-31 18:49 - 2011-09-09 11:12 - 00000000 ____D C:\Program Files\Nero
2013-03-31 18:49 - 2011-09-09 11:12 - 00000000 ____D C:\Program Files\Common Files\Nero
2013-03-31 18:48 - 2012-04-15 01:37 - 00000000 ____D C:\ProgramData\EPSON
2013-03-31 18:44 - 2010-11-09 21:17 - 00000000 ____D C:\Program Files\Adobe
2013-03-30 09:01 - 2013-03-28 12:25 - 00001490 ____A C:\Windows\Sandboxie.ini
2013-03-29 00:48 - 2012-05-09 23:36 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-03-28 17:59 - 2013-03-28 17:59 - 00007611 ____A C:\Users\Mr. Karben\AppData\Local\Resmon.ResmonCfg
2013-03-28 13:09 - 2013-03-28 13:09 - 00000000 ____D C:\Users\Mr. Karben\AppData\Roaming\VST3 Presets
2013-03-28 13:09 - 2013-03-28 13:09 - 00000000 ____D C:\ProgramData\Steinberg
2013-03-28 13:09 - 2013-03-28 12:52 - 00000000 ____D C:\Users\Mr. Karben\AppData\Roaming\Steinberg
2013-03-28 13:08 - 2013-03-28 13:08 - 00000000 ____D C:\Program Files\Common Files\VST3
2013-03-28 12:53 - 2013-03-28 12:53 - 00002026 ____A C:\Users\Mr. Karben\Desktop\Cubase 5.lnk
2013-03-28 12:53 - 2013-03-28 12:52 - 00000000 ____D C:\Program Files\Steinberg
2013-03-28 12:28 - 2013-03-28 12:28 - 00000000 ___RD C:\Sandbox
2013-03-28 12:25 - 2013-03-28 12:25 - 00001067 ____A C:\Users\Mr. Karben\Desktop\Sandboxed Web Browser.lnk
2013-03-28 12:25 - 2013-03-28 12:25 - 00000000 ____D C:\Program Files\Sandboxie
2013-03-28 12:24 - 2013-03-28 12:24 - 02565392 ____A (SANDBOXIE L.T.D) C:\Users\Mr. Karben\Downloads\SandboxieInstall.exe
2013-03-28 12:07 - 2013-03-28 12:07 - 00552960 ____A (Ralink Technology, Corp.) C:\Windows\System32\Drivers\netr73.sys
2013-03-28 12:07 - 2013-03-28 12:07 - 00221184 ____A (Ralink Technology, Inc.) C:\Windows\System32\RaCoInst.dll
2013-03-28 12:07 - 2013-03-28 12:07 - 00000000 ____D C:\Users\Mr. Karben\AppData\Roaming\InstallShield
2013-03-28 12:07 - 2013-03-28 12:07 - 00000000 ____D C:\Program Files\Belkin
2013-03-23 12:16 - 2010-11-09 21:13 - 00000000 ____D C:\Users\Mr. Karben\AppData\Local\Adobe
2013-03-23 09:55 - 2012-08-10 17:27 - 00000000 ____D C:\Users\Mr. Karben\AppData\Local\Google
2013-03-23 09:54 - 2012-08-10 17:27 - 00000000 ____D C:\Program Files\Google
2013-03-22 12:42 - 2013-03-22 12:42 - 00000000 ____D C:\Users\Mr. Karben\AppData\Local\SKIDROW
2013-03-22 12:09 - 2013-03-22 12:08 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-03-22 11:55 - 2013-03-22 11:55 - 00002039 ____A C:\Users\Public\Desktop\Tombraider.lnk
2013-03-22 11:48 - 2013-03-22 11:48 - 00000000 ____D C:\Program Files\SQUARE ENIX
2013-03-22 11:26 - 2012-06-05 17:26 - 00000951 ____A C:\Users\Public\Desktop\AVG 2012.lnk
2013-03-22 11:26 - 2010-10-30 14:18 - 00000000 ____D C:\ProgramData\MFAData


==================== Known DLLs (Whitelisted) =================

C:\Windows\SysWOW64\clbcatq.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\ole32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\advapi32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\COMDLG32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\gdi32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\IERTUTIL.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\IMAGEHLP.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\IMM32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\kernel32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\LPK.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\MSCTF.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\MSVCRT.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\NORMALIZ.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\NSI.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\OLEAUT32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\PSAPI.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\rpcrt4.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\sechost.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\Setupapi.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\SHELL32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\SHLWAPI.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\URLMON.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\user32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\USP10.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\WININET.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\WLDAP32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\WS2_32.dll IS MISSING <==== ATTENTION!
C:\Windows\SysWOW64\DifxApi.dll IS MISSING <==== ATTENTION!

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe
[2010-10-31 13:20] - [2009-10-28 07:17] - 0285696 ____A (Microsoft Corporation) 37CDB7E72EB66BA85A87CBE37E7F03FD

C:\Windows\System32\wininit.exe
[2009-07-14 00:36] - [2009-07-14 02:14] - 0096256 ____A (Microsoft Corporation) B5C5DCAD3899512020D135600129D665

C:\Windows\SysWOW64\wininit.exe IS MISSING <==== ATTENTION!.
C:\Windows\explorer.exe
[2012-05-09 22:14] - [2011-02-26 06:33] - 2614784 ____A (Microsoft Corporation) 2AF58D15EDC06EC6FDACCE1F19482BBF

C:\Windows\SysWOW64\explorer.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\svchost.exe
[2009-07-14 00:19] - [2009-07-14 02:14] - 0020992 ____A (Microsoft Corporation) 54A47F6B5E09A77E61649109C6A08866

C:\Windows\SysWOW64\svchost.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\services.exe
[2009-07-14 00:11] - [2009-07-14 02:14] - 0259072 ____A (Microsoft Corporation) 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\System32\User32.dll
[2009-07-14 00:24] - [2009-07-14 02:16] - 0811520 ____A (Microsoft Corporation) 34B7E222E81FAFA885F0C5F2CFA56861

C:\Windows\SysWOW64\User32.dll IS MISSING <==== ATTENTION!.
C:\Windows\System32\userinit.exe
[2009-07-14 00:34] - [2009-07-14 02:14] - 0026112 ____A (Microsoft Corporation) 6DE80F60D7DE9CE6B8C2DDFDF79EF175

C:\Windows\SysWOW64\userinit.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\Drivers\volsnap.sys
[2009-07-14 00:11] - [2009-07-14 02:19] - 0245328 ____A (Microsoft Corporation) 58DF9D2481A56EDDE167E51B334D44FD


==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-03-31 18:44:35
Restore point made on: 2013-03-31 18:48:57
Restore point made on: 2013-03-31 18:50:09
Restore point made on: 2013-04-05 00:11:48

==================== Memory info ===========================

Percentage of memory in use: 14%
Total physical RAM: 4095.29 MB
Available physical RAM: 3481.58 MB
Total Pagefile: 4093.44 MB
Available Pagefile: 3462.12 MB
Total Virtual: 8192 MB
Available Virtual: 8191.89 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:78.03 GB) (Free:1.45 GB) NTFS
2 Drive e: (spiele + programme) (Fixed) (Total:390.62 GB) (Free:222.86 GB) NTFS
3 Drive f: (Dateien) (Fixed) (Total:462.76 GB) (Free:60.43 GB) NTFS
4 Drive g: (GRMCHPXFRER_DE_DVD) (CDROM) (Total:2.97 GB) (Free:0 GB) UDF
5 Drive h: () (Removable) (Total:0.94 GB) (Free:0.37 GB) FAT
6 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
7 Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.08 GB) NTFS

Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 931 GB 0 B
Datentr„ger 1 Online 963 MB 0 B

Partitions of Disk 0:
===============

Datentr„ger-ID: 37305F73

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 100 MB 1024 KB
Partition 2 Prim„r 78 GB 101 MB
Partition 3 Prim„r 390 GB 78 GB
Partition 4 Prim„r 462 GB 468 GB

==================================================================================

Disk: 0
Partition 1
Typ : 07
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 Y System-rese NTFS Partition 100 MB Fehlerfre

=========================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C NTFS Partition 78 GB Fehlerfre

=========================================================

Disk: 0
Partition 3
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 E spiele + pr NTFS Partition 390 GB Fehlerfre

=========================================================

Disk: 0
Partition 4
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 4 F Dateien NTFS Partition 462 GB Fehlerfre

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: 00000001

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
* Partition 1 Prim„r 963 MB 0 B

==================================================================================

Disk: 1
Es wurde keine Partition gew„hlt.

Es wurde keine Partition ausgew„hlt.
W„hlen Sie eine Partition, und wiederholen Sie den Vorgang.

=========================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 37305F73

Partition 1:
=========
Hex: 8020210007DF130C0008000000200300
Active: YES
Type: 07 (NTFS)
Size: 100 MB

Partition 2:
=========
Hex: 00DF140C07FEFFFF0028030000E0C009
Active: NO
Type: 07 (NTFS)
Size: 78 GB

Partition 3:
=========
Hex: 00FEFFFF07FEFFFF0008C4090000D430
Active: NO
Type: 07 (NTFS)
Size: 391 GB

Partition 4:
=========
Hex: 00FEFFFF07FEFFFF0008983A0058D839
Active: NO
Type: 07 (NTFS)
Size: 463 GB

==============================
Partitions of Disk 1:
===============
Disk ID: 6B736964

Partition 1:
=========
Hex: 616E64207468656E2070726573732061
Active: NO
Type: 74
Size: 777 GB

Partition 2:
=========
Hex: 6E79206B65790D0A0000494F20202020
Active: NO
Type: 65
Size: 257 GB

Partition 3:
=========
Hex: 20205359534D53444F53202020535953
Active: NO
Type: 53
Size: 667 GB

Partition 4:
=========
Hex: 7F010041BB0007807E020EE940FF0000
Active: NO
Type: BB
Size: 32 MB


Last Boot: 2013-04-04 06:55

==================== End Of Log =============================

nicht ganz richtig also ich hab zwei festplatten und eine davon läuft auf windows 7 und die mbr davon fehlt mir nun ich danke ds ist das problem oder naja gescant hab ichs jetzt erstmal und mein problem ist das ich nicht anders als mit ner cd in die computer reparatur komme also muss ich meine eine festplatte abklemmen um auf die andere zuzugreifebn einwenig umständlich aber es funktioniert

aharonov 09.04.2013 01:52
Ah ok, das ist da ein bisschen Murks.. ;)


Schritt 1

Downloade dir bitte Malwarebytes Anti-Malware.
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte nun Malwarebytes Anti-Malware.
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Klicke auf Aktualisierung --> Suche nach Aktualisierung.
  • Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
  • Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.



Schritt 2

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
  • Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
  • Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
    (Danach nicht vergessen, sie wieder einzuschalten.)
  • Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
  • Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
  • Warte bis die Komponenten heruntergeladen sind.
  • Setze den Haken bei Scan archives.
  • Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
  • Drücke dann auf Start.
  • Die Signaturen werden heruntergeladen und der Scan startet automatisch.
    Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
  • Falls nach Beendigung des Scans Funde angezeigt werden, dann:
    • Drücke auf List of found threats.
    • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
    • Drücke danach auf << Back.
  • Schliesse nun den Scanner mit einem Klick auf Finish.
Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 3

Downloade dir bitte SecurityCheck (Link 1, Link 2).
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.



Schritt 4

Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von MBAM
  • Log von ESET
  • Log von SecurityCheck
  • Log von OTL

orezjunk 09.04.2013 12:57
lala

aharonov 09.04.2013 13:19
Cracks und Keygens

Die Logfiles deuten stark darauf hin, dass du nicht legal erworbene Software einsetzt. Nebst ihrer Illegalität sind Cracks und Patches aus dubioser Quelle auch sehr oft mit Schädlingen versehen, womit man sich also fast schon vorsätzlich infiziert.

Wir haben uns hier auf dem Board darauf geeinigt, dass wir an dieser Stelle nicht weiter bereinigen, da wir ein solches Vorgehen nicht unterstützen. Wir haben dich in unserer Anleitung unter Punkt 8 der Foren-Regeln auch unmissverständlich darauf hingewiesen, wie wir damit umgehen werden.

Diese Software hat ihren Preis und die Softwarefirmen leben von diesen Einnahmen. Als Alternative gibt es überall jede Menge sehr gute Freeware oder abgespeckte, günstig zu erwerbende Versionen.

Unsere Empfehlung hier lautet, einen sauberen Neuanfang zu vollziehen, und unsere Hilfe beschränkt sich daher auf das Neuaufsetzen und Absichern deines Systems.
Fragen dazu beantworten wir dir aber weiterhin gerne und zwar in unserem Unterforum Alles rund um Windows.

orezjunk 09.04.2013 13:57
Deanke trotzdem für deine Hilfe

kannst du mir nen gefallen tuhen und dein Zitat löschen?

aharonov 09.04.2013 14:49
Ist gelöscht.


Dieses Thema ist erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55