Entdecke einen Virus :CF778051:$DATA - Analyse erwünscht! ADS Hidden Stream

#1 2 Hidden Streams entdeckt. ADS Spy zeigt die beiden streams doppelt an, also 4 Einträge. Mit anderen Programmen finde ich aber nur zwei. Mit dem Tool AlternateStreamView kann ich leider nur einen der streams exportieren. Beim anderen passiert nichts ,keine Fehlermeldung keine Datei wird erstellt.

Die eine exportierte Datei könnt ihr hier downloaden:
http://www.megaupload.com/?d=5AB8A39M

Der Dateianhang hier im Forum ging leider nicht für diese Datei!


Ich bin der Meinung das mein PC mit irgendwas infiziert ist. Bei der Google Suche nach :CF778051:$DATA fand ich nur polnische und tschechische Seiten die sich um Virenbekämpfung drehen und in denen Logs von HiJackThis und co. gepostet waren.

Die Datei selbst wurde noch nirgends thematisiert geschweige denn analysiert. Wenn also jemand von euch einen neuen Virus/Rootkit/Malware sonstwas finden möchte - Hier darfst du Entdecker sein

Auf dem PC läuft Comodo Firewall und Defense+ (Was manchmal komischerweise ausgeschaltet ist obwohl ich mich nicht dran erinnern kann es abgeschaltet zu haben), Avast 4,8 Home Edition und ThreatFire.

Gescannt habe ich schon mit HiJackThis, SuperAntiSpyware, Avast, Spybot, Sophos Anti Rootkit... Alles ohne Funde.

Stream Name : :CF778051:$DATA
Filename : C:\ProgramData\TEMP
Full Stream Name : C:\ProgramData\TEMP:CF778051
Stream Size : 126
Stream Allocated Size: 128

Stream Name : :CF778051:$DATA
Filename : C:\Users\All Users\TEMP
Full Stream Name : C:\Users\All Users\TEMP:CF778051
Stream Size : 126
Stream Allocated Size: 128

Das ist der Notepad-Inhalt der Datei

Zitat

+ÁÇY|,Ø0¨áÛÉ{‡óY
ù87�Ù29Ù�¬›è@÷Ý.I­Ÿb|ôYŒGw¨X)ÕE·ûëö0ýX—‹s×bÄûïÖKpñ¾âbÖP¯äer¯•ë¸6¸®Ï“"—Ý4¹�Ý«ñÞú¾ŒÀk(�r@‹ŒŽý'Ê

Virustotal sagt nichts zu der Datei. wahrscheinlich ist sie auch nur Teil etwas größerem ;-(

File size: 126 bytes
MD5...: f09a9b41fac5e254aa5c25fb569db3b3
SHA1..: 95cb00ff141d468e37a46b51532115f6b8be1499
SHA256: 188c193ed77c5c8f63eb682132371cf5e31587c2e253aeb274f887b16ebf7cfd
ssdeep: 39ndWQ1XccN6S7NZR8pxLfQ9CIsVEJBAa7RdLqD9IyU6oYCv:FH1XxN6S7LR8p
xS+AAatJUIyU1YCv
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Das ist auch noch komisch!

Zitat

ntuser.tmp.log1

wird von sophos anti rootkit als unknown hidden file eingestuft. Nach einer Internet Recherche findet sich nur sehr wenig dazu, es sollte sich eigentlich mehr finden bei sovielen Windows Nutzern. Hab keine Beschreibung gefunden!

Das ist auch merkwürdig, kennt ihr diese ntuser.tmp.log1 Datei?


Bitte helft mir! Keine Lust in einem Botnet zu stecken :/

#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

#3 Gmer findet beim ersten Standard Scan nichts, allerdings kann ich die gewünschten Häkchen nicht setzen. Kann nur Services, Registry, Files und ADS auswählen!

Zitat

Die Strings die Gmer gefunden hat (@hackmfkfidheeahk und @jaiikefnggangmoafaok und @iaijghapbelanljhol sowie @jaiikefnggangmoafakj) hatte ich schon mal gelöscht, Sie kommen aber immer wieder. Genauso wie die versteckten advanced data streams :CF778051:$DATA

Code

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-25 17:22:00
Windows 6.0.6001 Service Pack 1
Running: dzbbfxzz.exe


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                                      
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                   0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                0xEE 0x29 0xC6 0xF9 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                                  
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                       0
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                    0xEE 0x29 0xC6 0xF9 ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D274E514-01A1-F248-AAE5-EB19584DE13C}                       
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D274E514-01A1-F248-AAE5-EB19584DE13C}@jaiikefnggangmoafakj  0x62 0x61 0x6F 0x6F ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D274E514-01A1-F248-AAE5-EB19584DE13C}@iaijghapbelanljhol    0x6B 0x61 0x68 0x61 ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D274E514-01A1-F248-AAE5-EB19584DE13C}@jaiikefnggangmoafaok  0x62 0x61 0x65 0x61 ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D274E514-01A1-F248-AAE5-EB19584DE13C}@hackmfkfidheeahk      0x6B 0x61 0x68 0x61 ...

---- EOF - GMER 1.0.15 ----

OTL ist in einer neuen Version erschienen. Ist jetzt alles in Deutsch und es gibt viele Einstellmöglichkeiten (z.B. Datei-Alter der zu scannenden Dateien). Ich hab jetzt alles auf den Standardeinstellungen gelassen weil da Use Safelist schon angegeben war. Hier ist das Log:

Code

OTL logfile created on: 25.06.2010 17:25:11 - Run 1
OTL by OldTimer - Version 3.2.7.0     Folder = C:\Users\Bernd\Desktop
64bit-Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

6,00 Gb Total Physical Memory | 5,00 Gb Available Physical Memory | 76,00% Memory free
7,00 Gb Paging File | 5,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): c:\pagefile.sys 1024 2048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 149,05 Gb Total Space | 17,51 Gb Free Space | 11,75% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 164,87 Gb Total Space | 164,76 Gb Free Space | 99,93% Space Free | Partition Type: NTFS
Drive G: | 533,76 Gb Total Space | 354,63 Gb Free Space | 66,44% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: Bernd
Current User Name: Bernd
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Users\Bernd\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Users\Bernd\Desktop\FirefoxPortable\FirefoxPortable.exe (PortableApps.com)
PRC - C:\Users\Bernd\Desktop\FirefoxPortable\App\firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files (x86)\COMODO\COMODO livePCsupport\CLPSLS.exe (COMODO)
PRC - C:\Program Files (x86)\ThreatFire\TFTray.exe (PC Tools)
PRC - C:\Program Files (x86)\ThreatFire\TFService.exe (PC Tools)
PRC - C:\Programme\Security\Avast4\ashDisp.exe (ALWIL Software)
PRC - C:\Programme\Security\Avast4\ashServ.exe (ALWIL Software)
PRC - C:\Programme\Security\Avast4\aswUpdSv.exe (ALWIL Software)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Users\Bernd\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\SysWOW64\guard32.dll (COMODO)
MOD - C:\Program Files (x86)\ThreatFire\TfWah.dll (PC Tools)
MOD - C:\Windows\SysWOW64\msscript.ocx (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18000_none_5cdbaa5a083979cc\comctl32.dll (Microsoft Corporation)
MOD - C:\Windows\SysWOW64\fltLib.dll (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV:[b]64bit:[/b] - (cmdAgent) -- C:\Program Files\CIS\COMODO\COMODO Internet Security\cmdagent.exe ()
SRV:[b]64bit:[/b] - (AMD External Events Utility) -- C:\Windows\SysNative\atiesrxx.exe ()
SRV:[b]64bit:[/b] - (nlsvc) -- C:\Program Files\NetLimiter 3\nlsvc.exe (Locktime Software)
SRV:[b]64bit:[/b] - (avast! Antivirus) -- C:\Program Files\Security\Avast4\ashServ.exe (ALWIL Software)
SRV:[b]64bit:[/b] - (avast! Mail Scanner) -- C:\Program Files\Security\Avast4\ashMaiSv.exe (ALWIL Software)
SRV:[b]64bit:[/b] - (avast! Web Scanner) -- C:\Program Files\Security\Avast4\ashWebSv.exe (ALWIL Software)
SRV:[b]64bit:[/b] - (aswUpdSv) -- C:\Program Files\Security\Avast4\aswUpdSv.exe (ALWIL Software)
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (PnkBstrB) -- C:\Windows\SysWOW64\PnkBstrB.exe ()
SRV - (CLPSLS) -- C:\Program Files (x86)\COMODO\COMODO livePCsupport\CLPSLS.exe (COMODO)
SRV - (ThreatFire) -- C:\Program Files (x86)\ThreatFire\TFService.exe (PC Tools)
SRV - (FLEXnet Licensing Service) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (Hamachi2Svc) -- C:\Program Files (x86)\hambachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (SandraAgentSrv) -- C:\Programme\Sandra Lite 2009\RpcAgentSrv.exe (SiSoftware)
SRV - (AsSysCtrlService) -- C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe ()
SRV - (MSDTC) -- C:\Windows\SysWOW64\Msdtc [2006.11.02 15:34:14 | 000,000,000 | ---D | M]
SRV - (vds) -- C:\Windows\SysWOW64\wbem\vds.mof ()
SRV - (VSS) -- C:\Windows\SysWOW64\wbem\vss.mof ()


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV:[b]64bit:[/b] - (BazisVirtualCDBus) -- C:\Windows\SysNative\DRIVERS\BazisVirtualCDBus.sys ()
DRV:[b]64bit:[/b] - (TfSysMon) -- C:\Windows\SysNative\drivers\TfSysMon.sys ()
DRV:[b]64bit:[/b] - (TfNetMon) -- C:\Windows\SysNative\drivers\TfNetMon.sys ()
DRV:[b]64bit:[/b] - (TfFsMon) -- C:\Windows\SysNative\drivers\TfFsMon.sys ()
DRV:[b]64bit:[/b] - (RTL8169) -- C:\Windows\SysNative\DRIVERS\Rtlh64.sys ()
DRV:[b]64bit:[/b] - (atikmdag) -- C:\Windows\SysNative\DRIVERS\atikmdag.sys ()
DRV:[b]64bit:[/b] - (amdkmdag) -- C:\Windows\SysNative\DRIVERS\atipmdag.sys ()
DRV:[b]64bit:[/b] - (amdkmdap) -- C:\Windows\SysNative\DRIVERS\atikmpag.sys ()
DRV:[b]64bit:[/b] - (NLNdisPT) -- C:\Windows\SysNative\DRIVERS\nlndis.sys ()
DRV:[b]64bit:[/b] - (NLNdisMP) -- C:\Windows\SysNative\DRIVERS\nlndis.sys ()
DRV:[b]64bit:[/b] - (aswSP) -- C:\Windows\SysNative\drivers\aswSP.sys ()
DRV:[b]64bit:[/b] - (aswFsBlk) -- C:\Windows\SysNative\DRIVERS\aswFsBlk.sys ()
DRV:[b]64bit:[/b] - (aswMonFlt) -- C:\Windows\SysNative\DRIVERS\aswMonFlt.sys ()
DRV:[b]64bit:[/b] - (aswTdi) -- C:\Windows\SysNative\drivers\aswTdi.sys ()
DRV:[b]64bit:[/b] - (aswRdr) -- C:\Windows\SysNative\drivers\aswRdr.sys ()
DRV:[b]64bit:[/b] - (atksgt) -- C:\Windows\SysNative\DRIVERS\atksgt.sys ()
DRV:[b]64bit:[/b] - (lirsgt) -- C:\Windows\SysNative\DRIVERS\lirsgt.sys ()
DRV:[b]64bit:[/b] - (ezplay) -- C:\Windows\SysNative\Drivers\ezplay.sys ()
DRV:[b]64bit:[/b] - (pcouffin) -- C:\Windows\SysNative\Drivers\pcouffin.sys ()
DRV:[b]64bit:[/b] - (hamachi) -- C:\Windows\SysNative\DRIVERS\hamachi.sys ()
DRV:[b]64bit:[/b] - (MEMSWEEP2) -- C:\Windows\SysNative\E018.tmp ()
DRV:[b]64bit:[/b] - (JRAID) -- C:\Windows\SysNative\DRIVERS\jraid.sys ()
DRV:[b]64bit:[/b] - (WpdUsb) -- C:\Windows\SysNative\DRIVERS\wpdusb.sys ()
DRV:[b]64bit:[/b] - (ATITool) -- C:\Windows\SysNative\DRIVERS\ATITool64.sys ()
DRV:[b]64bit:[/b] - (MTsensor) -- C:\Windows\SysNative\DRIVERS\ASACPI.sys ()
DRV - (SASDIFSV) -- C:\Program Files (x86)\SUPERAntiSpyware\SASDIFSV.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASKUTIL) -- C:\Program Files (x86)\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASENUM) -- C:\Program Files (x86)\SUPERAntiSpyware\SASENUM.SYS ( SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (nltdi) -- C:\Programme\NetLimiter 3\nltdi.sys (Locktime Software)
DRV - (RivaTuner64) -- C:\Program Files (x86)\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner64.sys ()
DRV - (SANDRA) -- C:\Programme\Sandra Lite 2009\WNt500x64\sandra.sys (SiSoftware)
DRV - (SAVRKBootTasks) -- C:\Windows\SysWOW64\SAVRKBootTasks.sys (Sophos Plc)
DRV - (AsIO) -- C:\Windows\SysWOW64\drivers\AsIO.sys ()
DRV - (Tcpip) -- C:\Windows\SysWOW64\wbem\tcpip.mof ()
DRV - (mpsdrv) -- C:\Windows\SysWOW64\wbem\mpsdrv.mof ()


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 2
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3
FF - prefs.js..extensions.enabledItems: {6F0976E6-26F3-4AFE-BBEC-9E99E27E4DF3}:1.3.1
FF - prefs.js..extensions.enabledItems: fdm_ffext@freedownloadmanager.org:1.3.4
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:1.9.9.39
FF - prefs.js..extensions.enabledItems: requestpolicy@requestpolicy.com:0.5.12
FF - prefs.js..extensions.enabledItems: {e968fc70-8f95-4ab9-9e79-304de2a71ee1}:0.7.2
FF - prefs.js..network.proxy.http: "193.174.155.26"
FF - prefs.js..network.proxy.http_port: 3127


FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Components: C:\Program Files (x86)\Mozfox\components [2010.05.10 19:40:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Plugins: C:\Program Files (x86)\Mozfox\plugins [2010.05.10 19:40:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2010.04.04 18:49:40 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins [2009.12.27 18:23:35 | 000,000,000 | ---D | M]

[2010.06.24 10:03:34 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\mozilla\Extensions
[2010.06.02 17:10:51 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\mozilla\Extensions-BackupByFirefoxPortable
[2010.06.02 17:10:51 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Extensions-BackupByFirefoxPortable\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
[2010.05.15 00:16:16 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\7zgt618k.default\extensions
[2009.11.28 02:34:28 | 000,000,000 | ---D | M] (Fire.fm) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\7zgt618k.default\extensions\{6F0976E6-26F3-4AFE-BBEC-9E99E27E4DF3}
[2010.01.22 19:39:19 | 000,000,000 | ---D | M] (NoScript) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\7zgt618k.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.01.22 19:39:18 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\7zgt618k.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2009.10.29 02:48:03 | 000,000,000 | ---D | M] (User Agent Switcher) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\7zgt618k.default\extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1}
[2009.11.28 02:34:29 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\7zgt618k.default\extensions\requestpolicy@requestpolicy.com

O1 HOSTS File: ([2006.09.18 23:37:24 | 000,000,761 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files (x86)\Tools\Download Manager\iefdm2.dll ()
O4:[b]64bit:[/b] - HKLM..\Run: [COMODO Internet Security] C:\Program Files\CIS\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4:[b]64bit:[/b] - HKLM..\Run: [RivaTunerStartupDaemon] C:\Program Files (x86)\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTunerWrapper.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [RtHDVCpl] C:\Programme\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4:[b]64bit:[/b] - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [avast!] C:\Programme\Security\Avast4\ashDisp.exe (ALWIL Software)
O4 - HKLM..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe ()
O4 - HKLM..\Run: [ThreatFire] C:\Program Files (x86)\ThreatFire\TFTray.exe (PC Tools)
O4 - HKCU..\Run: [NetLimiter] C:\Program Files\NetLimiter 3\NLClientApp.exe (Locktime Software)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1
O10:[b]64bit:[/b] - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O20:[b]64bit:[/b] - AppInit_DLLs: (prio.dll) -  File not found
O20:[b]64bit:[/b] - AppInit_DLLs: (C:\Windows\system32\guard64.dll) - C:\Windows\SysNative\guard64.dll ()
O20 - AppInit_DLLs: (prio32.dll) -  File not found
O20 - AppInit_DLLs: (C:\Windows\SysWOW64\guard32.dll) - C:\Windows\SysWOW64\guard32.dll (COMODO)
O20:[b]64bit:[/b] - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Program Files (x86)\SUPERAntiSpyware\SASWINLO.dll - C:\Program Files (x86)\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
O24 - Desktop WallPaper: C:\Users\Bernd\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Bernd\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Program Files (x86)\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{7f403501-52ee-11df-8b35-90e6ba2d280c}\Shell - "" = AutoRun
O33 - MountPoints2\{7f403501-52ee-11df-8b35-90e6ba2d280c}\Shell\AutoRun\command - "" = K:\Setup.exe -- File not found
O33 - MountPoints2\{7f403511-52ee-11df-8b35-90e6ba2d280c}\Shell - "" = AutoRun
O33 - MountPoints2\{7f403511-52ee-11df-8b35-90e6ba2d280c}\Shell\AutoRun\command - "" = K:\RunGame.exe -- File not found
O33 - MountPoints2\{ce393820-52f1-11df-b59e-90e6ba2d280c}\Shell - "" = AutoRun
O33 - MountPoints2\{ce393820-52f1-11df-b59e-90e6ba2d280c}\Shell\AutoRun\command - "" = E:\RunGame.exe -- File not found
O33 - MountPoints2\{ce393821-52f1-11df-b59e-90e6ba2d280c}\Shell - "" = AutoRun
O33 - MountPoints2\{ce393821-52f1-11df-b59e-90e6ba2d280c}\Shell\AutoRun\command - "" = K:\RunGame.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:[b]64bit:[/b] - HKLM\..comfile [open] -- "%1" %*
O35:[b]64bit:[/b] - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:[b]64bit:[/b] - HKLM\...com [@ = comfile] -- "%1" %*
O37:[b]64bit:[/b] - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.06.25 17:12:22 | 000,574,464 | ---- | C] (OldTimer Tools) -- C:\Users\Bernd\Desktop\OTL.exe
[2010.06.25 02:05:44 | 000,034,816 | ---- | C] (NirSoft) -- C:\Users\Bernd\Desktop\AlternateStreamView.exe
[2010.06.23 03:50:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2010.06.23 03:20:13 | 000,018,816 | ---- | C] (Sophos Plc) -- C:\Windows\SysWow64\SAVRKBootTasks.sys
[2010.06.23 03:17:01 | 000,000,000 | ---D | C] -- C:\ProgramData\TEMP
[2010.06.21 00:45:58 | 000,000,000 | ---D | C] -- C:\Users\Bernd\Desktop\Tools
[2010.06.21 00:44:16 | 000,000,000 | ---D | C] -- C:\Users\Bernd\Desktop\Bilder
[2010.06.21 00:19:56 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Phoenix Technologies
[2010.06.20 23:59:52 | 000,000,000 | ---D | C] -- C:\Users\Bernd\AppData\Roaming\LockHunter
[2010.06.20 23:58:09 | 000,000,000 | ---D | C] -- C:\Programme\LockHunter
[2010.06.20 17:59:07 | 000,000,000 | ---D | C] -- C:\Users\Bernd\Desktop\Dokumente
[2010.06.20 17:49:00 | 000,000,000 | R--D | C] -- C:\Users\Bernd\Desktop\Mobile
[2010.06.18 01:43:21 | 000,000,000 | ---D | C] -- C:\Users\Bernd\Desktop\backlinks
[2010.06.17 03:11:40 | 000,000,000 | ---D | C] -- C:\php
[2010.06.10 00:23:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ASIO4ALL v2
[4 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
[3 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[24 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[24 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[1 C:\Users\Bernd\*.tmp files -> C:\Users\Bernd\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.06.25 17:25:26 | 013,893,632 | ---- | M] () -- C:\Users\Bernd\ntuser.dat
[2010.06.25 17:12:24 | 000,574,464 | ---- | M] (OldTimer Tools) -- C:\Users\Bernd\Desktop\OTL.exe
[2010.06.25 17:08:04 | 001,418,806 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2010.06.25 17:08:04 | 000,618,204 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2010.06.25 17:08:04 | 000,586,980 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2010.06.25 17:08:04 | 000,122,636 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2010.06.25 17:08:04 | 000,101,052 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2010.06.25 17:06:38 | 000,293,376 | ---- | M] () -- C:\Users\Bernd\Desktop\dzbbfxzz.exe
[2010.06.25 17:03:49 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.06.25 17:03:47 | 000,004,096 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.06.25 17:03:47 | 000,004,096 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.06.25 17:03:40 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.06.25 03:16:40 | 000,524,288 | -HS- | M] () -- C:\Users\Bernd\ntuser.dat{7f1e4837-c6ca-11dc-8210-9be9a4defda2}.TMContainer00000000000000000001.regtrans-ms
[2010.06.25 03:16:40 | 000,065,536 | -HS- | M] () -- C:\Users\Bernd\ntuser.dat{7f1e4837-c6ca-11dc-8210-9be9a4defda2}.TM.blf
[2010.06.25 03:16:29 | 005,149,625 | -H-- | M] () -- C:\Users\Bernd\AppData\Local\IconCache.db
[2010.06.25 02:55:02 | 000,000,472 | ---- | M] () -- C:\Users\Bernd\Desktop\AlternateStreamView.cfg
[2010.06.25 02:17:14 | 000,000,126 | ---- | M] () -- C:\Users\Bernd\Desktop\TEMP_CF778051.ogg
[2010.06.25 02:17:14 | 000,000,126 | ---- | M] () -- C:\Users\Bernd\Desktop\TEMP_CF778051
[2010.06.25 02:04:59 | 000,040,113 | ---- | M] () -- C:\Users\Bernd\Desktop\alternatestreamview.zip
[2010.06.25 01:56:32 | 001,325,314 | ---- | M] () -- C:\Users\Bernd\Desktop\StreamArmor_v1.zip
[2010.06.23 03:19:18 | 344,336,890 | ---- | M] () -- C:\registry_backup_b4_deleting.reg
[2010.06.21 00:48:07 | 000,000,104 | ---- | M] () -- C:\Users\Bernd\Arbeitsplatz - Verknüpfung.lnk
[2010.06.20 23:35:58 | 000,065,656 | ---- | M] () -- C:\Users\Bernd\AppData\Local\GDIPFONTCACHEV1.DAT
[2010.06.20 23:35:07 | 002,224,048 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2010.06.20 17:51:59 | 000,000,635 | ---- | M] () -- C:\Users\Bernd\Desktop\Shared.lnk
[4 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
[3 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[24 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[24 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[1 C:\Users\Bernd\*.tmp files -> C:\Users\Bernd\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.06.25 17:06:37 | 000,293,376 | ---- | C] () -- C:\Users\Bernd\Desktop\dzbbfxzz.exe
[2010.06.25 02:55:02 | 000,000,472 | ---- | C] () -- C:\Users\Bernd\Desktop\AlternateStreamView.cfg
[2010.06.25 02:48:17 | 000,000,126 | ---- | C] () -- C:\Users\Bernd\Desktop\TEMP_CF778051.ogg
[2010.06.25 02:12:19 | 000,000,126 | ---- | C] () -- C:\Users\Bernd\Desktop\TEMP_CF778051
[2010.06.25 02:05:44 | 000,014,476 | ---- | C] () -- C:\Users\Bernd\Desktop\AlternateStreamView.chm
[2010.06.25 02:04:56 | 000,040,113 | ---- | C] () -- C:\Users\Bernd\Desktop\alternatestreamview.zip
[2010.06.25 01:56:30 | 001,325,314 | ---- | C] () -- C:\Users\Bernd\Desktop\StreamArmor_v1.zip
[2010.06.23 03:19:01 | 344,336,890 | ---- | C] () -- C:\registry_backup_b4_deleting.reg
[2010.06.21 00:48:07 | 000,000,104 | ---- | C] () -- C:\Users\Bernd\Arbeitsplatz - Verknüpfung.lnk
[2010.06.20 17:51:59 | 000,000,635 | ---- | C] () -- C:\Users\Bernd\Desktop\Shared.lnk
[2010.05.10 19:49:58 | 000,000,058 | ---- | C] () -- C:\Windows\nfsc_patch.ini
[2010.02.26 20:41:10 | 000,000,302 | ---- | C] () -- C:\Windows\game.ini
[2010.02.26 20:19:54 | 000,069,632 | ---- | C] () -- C:\Windows\SysWow64\xmltok.dll
[2010.02.26 20:19:54 | 000,036,864 | ---- | C] () -- C:\Windows\SysWow64\xmlparse.dll
[2009.11.19 13:49:55 | 002,463,976 | ---- | C] () -- C:\Windows\SysWow64\NPSWF32.dll
[2009.11.06 11:58:04 | 000,178,975 | ---- | C] () -- C:\Windows\SysWow64\xlive.dll.cat
[2009.10.11 16:31:25 | 000,197,120 | ---- | C] () -- C:\Windows\patchw32.dll
[2009.10.08 18:30:42 | 000,024,576 | R--- | C] () -- C:\Windows\SysWow64\AsIO.dll
[2009.10.08 18:30:42 | 000,014,392 | R--- | C] () -- C:\Windows\SysWow64\drivers\AsIO.sys
[2009.10.08 18:23:35 | 000,001,746 | ---- | C] () -- C:\Windows\Language_trs.ini
[2009.10.08 18:23:06 | 000,024,400 | ---- | C] () -- C:\Windows\Ascd_tmp.ini
[2008.01.21 04:50:05 | 000,060,124 | ---- | C] () -- C:\Windows\SysWow64\tcpmon.ini
[2008.01.21 04:49:49 | 000,368,640 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2007.12.28 09:22:02 | 000,010,296 | ---- | C] () -- C:\Windows\SysWow64\drivers\ASUSHWIO.SYS
< End of report >

Code

OTL Extras logfile created on: 25.06.2010 17:25:11 - Run 1
OTL by OldTimer - Version 3.2.7.0     Folder = C:\Users\Bernd\Desktop
64bit-Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

6,00 Gb Total Physical Memory | 5,00 Gb Available Physical Memory | 76,00% Memory free
7,00 Gb Paging File | 5,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): c:\pagefile.sys 1024 2048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 149,05 Gb Total Space | 17,51 Gb Free Space | 11,75% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 164,87 Gb Total Space | 164,76 Gb Free Space | 99,93% Space Free | Partition Type: NTFS
Drive G: | 533,76 Gb Total Space | 354,63 Gb Free Space | 66,44% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: Bernd
Current User Name: Bernd
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozfox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" File not found
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" ()
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l ()
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0

[b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = 9F 9E 16 8C DC 5B C8 01  [binary data]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"oobe_av" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0

[color=#E56717]========== Authorized Applications List ==========[/color]


[color=#E56717]========== Vista Active Open Ports Exception List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{012C2203-1E39-4034-AA90-B0961859868F}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{073FCD1E-EB33-45FE-A571-2231CA6CD2F3}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{246EC2FF-4D1A-4C3F-951C-528B94A1C71E}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\rpcagentsrv.exe |
"{2F97433A-5A8A-4417-8E87-F04B134E4F51}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{398CF352-63AB-47FD-8D70-EFD6834EAE6D}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{5223C994-0098-47AA-8F1A-DCB94B7E45A9}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{8898067B-B4DB-4C0E-8FEF-14AC8BB40FF1}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{A01599E0-F74E-4616-856E-DFF3B4198412}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{C230BD20-B36F-426E-B2DC-F3E1ADA71A2B}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{C488F3B8-E317-45E8-AEE2-3EB222EE6D3F}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{D24605E4-0594-4854-90C6-D49D2B5F7E56}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{D2E12A11-4891-4533-ABEC-ED0F09872721}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{E954EB4B-0BDC-4A0B-AEB7-29BFC59C5DA2}" = lport=rpc | protocol=6 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |

[color=#E56717]========== Vista Active Application Exception List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0D295DBC-BB36-42FC-A741-13037761CCA6}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\waw\codwawmp.exe |
"{0F07009F-3663-41B9-A2AD-A1436C176C96}" = protocol=17 | dir=in | app=c:\program files (x86)\prot\prototypef.exe |
"{10895741-99F7-44D1-A221-025A051DF6AB}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\farcr\far cry 2\bin\farcry2.exe |
"{117E0A38-35D6-48E0-ABAE-159D35340568}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\gow\binaries\wargame-g4wlive.exe |
"{1332BDFF-EF36-401C-8BC5-44E30FDA86C0}" = protocol=6 | dir=in | app=c:\program files (x86)\ancy's endwar\tom clancy's endwar\binaries\endwar.exe |
"{29D7D202-1B87-4788-A24E-EEB8EB5E2C7D}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{2AE48E15-4E88-4DD2-AB14-328528E0B152}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{2B13E240-7D76-452D-B5D2-174616D68377}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\farcr\far cry 2\bin\farcry2.exe |
"{341E0C2B-99D4-4321-BBDC-EE3F67967F82}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{35C0720B-DCBF-46FF-92ED-8471D4EA25D3}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\cojuarez\cojbibgame_x86.exe |
"{3CAC9811-4C00-487E-9987-5C452019C7F6}" = protocol=17 | dir=in | app=c:\program files (x86)\ancy's endwar\tom clancy's endwar\tom clancy's endwar launcher.exe |
"{4420F924-2181-4C0E-9059-E130A39EE50D}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\revident\re5dx10.exe |
"{507418B0-A486-4EBE-89CE-2F8D6B6E9E71}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\waw\codwawmp.exe |
"{54041E34-AE28-4C17-93B1-6027C029ABCE}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{62BE3123-E136-4A3A-817C-6BC0F1BED48C}" = protocol=17 | dir=in | app=c:\program files (x86)\rockstar games\rockstar games social club\rgsclauncher.exe |
"{668CC2B3-5E4A-4258-8933-7FA359DF21BA}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\waw\codwaw.exe |
"{66C4018E-DDF5-46C7-8A32-7CBCFE186D57}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{68A553F2-EEF8-4A8D-ADFA-9E579C077A81}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\gow\binaries\wargame-g4wlive.exe |
"{6A903EB4-CF0B-495F-847A-299B05FCA444}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{6C5D4E33-A853-4920-AC43-03F7B0ED26A7}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{7599DB7A-07C7-4589-8FF6-AF46724F1BE4}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\waw\codwaw.exe |
"{767EF54E-D948-4912-A0C2-7D4A1ABAB00E}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{7DFC6874-CBAF-4446-98D7-9E09F5F28933}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\gtrra4\grand theft auto iv\launchgtaiv.exe |
"{8A28E0FE-5522-4474-B151-F9CFA832E7FF}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\revident\re5dx9.exe |
"{907462B7-24B3-43E1-9CE6-AB02DB179500}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\gtrra4\grand theft auto iv\launchgtaiv.exe |
"{A47077DE-BB3D-46B3-971C-65E621183CBB}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\farcr\far cry 2\bin\fc2launcher.exe |
"{A62D645E-88F7-442B-9E2A-E25B0830D5CF}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\farcr\far cry 2\bin\fc2editor.exe |
"{A64C9787-538F-469D-9087-491FAB1A6D44}" = protocol=6 | dir=in | app=c:\program files (x86)\ancy's endwar\tom clancy's endwar\tom clancy's endwar launcher.exe |
"{B1684E60-B20E-4D5E-A852-8BCFAB4700B1}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\revident\re5dx9.exe |
"{B41366F3-321D-49BB-A14A-8F7DEC159FA1}" = protocol=6 | dir=in | app=c:\program files (x86)\ut\binaries\ut3.exe |
"{B891CD0F-D32E-4E7D-B3E0-90B2EA254F93}" = protocol=17 | dir=in | app=c:\program files (x86)\ut\binaries\ut3.exe |
"{B9124EE1-738C-489D-987A-309083BE0F4A}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{BC32EB83-8B9E-4603-9CC8-8BFC690D15A6}" = protocol=6 | dir=in | app=c:\program files (x86)\windows games\revident\re5dx10.exe |
"{BF73D857-3548-49BD-8618-BAB8D7A3F181}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\cojuarez\cojbibgame_x86.exe |
"{C06DB952-DC53-4393-A416-7300C84FF9FA}" = protocol=6 | dir=in | app=c:\program files (x86)\prot\prototypef.exe |
"{C21782D3-5EB7-4A6E-B1FC-D17BD8791440}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\farcr\far cry 2\bin\fc2editor.exe |
"{D79CE384-294B-41E6-8796-7F38E74CF01B}" = protocol=17 | dir=in | app=c:\program files (x86)\ancy's endwar\tom clancy's endwar\binaries\endwar.exe |
"{DF284DB2-C968-4723-88ED-76BBED79B2D3}" = protocol=6 | dir=in | app=c:\program files (x86)\rockstar games\rockstar games social club\rgsclauncher.exe |
"{E1CED03F-9644-43B8-9AA2-A4A40C879076}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\rpcagentsrv.exe |
"{E1E133DE-A99B-4BBA-BD9D-E22EFC47B07E}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{E1E53C56-F897-4C76-BE29-15E180EE117B}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{E7C728A3-BDEF-499D-A608-A7D1C9896611}" = protocol=1 | dir=in | app=c:\program files\sandra lite 2009\wnt500x64\rpcsandrasrv.exe |
"{F52E6A11-6DBE-4045-A90C-D54D585CCA8B}" = protocol=17 | dir=in | app=c:\program files (x86)\windows games\farcr\far cry 2\bin\fc2launcher.exe |

[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148
"{913923AB-3AAB-4870-8910-627C4CD82789}" = NetLimiter 3
"{9A7CA92E-C518-9C36-3105-B087DCE86887}" = ccc-utility64
"{C3113E55-7BCB-4de3-8EBF-60E6CE6B2196}_is1" = SiSoftware Sandra Lite 2009.SP4
"{CC6B1BB4-4E06-4A5B-A166-B371B551324B}" = COMODO Internet Security
"{E0C18BB0-32CA-4679-B422-9B9FA825378F}" = HP Deskjet Printer Driver Software 9.0
"LockHunter_is1" = LockHunter version 1.0 beta 3, 64 bit edition

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{000E79B7-E725-4F01-870A-C12942B7F8E4}" = Crysis(R)
"{00C5F4F4-62F9-40D7-8000-AD8A9CD0C669}" = Microsoft Games for Windows - LIVE Redistributable
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{0224CACC-994D-45F8-B973-D65056EA9C2F}" = Adobe XMP DVA Panels CS3
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{067EC517-9731-43FD-B4D5-296EE0027BBB}" = LogMeIn Hamachi
"{06F80017-8F98-4C94-B868-52358569FC32}" = Command & Conquer Generals
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{08B3869E-D282-424C-9AFC-870E04A4BA14}" = Rockstar Games Social Club
"{1170D24F-42B7-40CF-AA1B-6395CE562354}" = Gears of War
"{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin
"{193EAFD0-1BAF-4FB4-B18F-79D5D6A4B285}" = Adobe After Effects CS3 Presets
"{243DA072-8E39-424A-86A3-F63152021383}" = Adobe Glyphlet Creation Tool CS3
"{259C0ABB-A3B2-4D70-008F-BF7EE491B70B}" = Need for Speed™ Carbon
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{296D8550-CB06-48E4-9A8B-E5034FB64715}" = Command & Conquer™ Alarmstufe Rot 3
"{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3
"{2C9EE786-1DDB-4C98-8FA4-B1B9B5A66B77}" = Microsoft Games for Windows - LIVE
"{310BC5E2-31AF-49BB-904D-E71EB93645DC}" = AI Suite
"{377B2121-65F6-4C5F-998F-5284DEF41F3E}" = COMODO livePCsupport
"{397D932C-93C8-72BD-12C3-E81AF1BE7D11}" = Catalyst Control Center InstallProxy
"{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}" = JMicron JMB36X Driver
"{3AC8457C-0385-4BEA-A959-E095F05D6D67}" = Battlefield: Bad Company™ 2
"{3BD633E0-4BF8-4499-9149-88F0767D449C}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
"{3CDC9034-9505-BABE-215A-3250EC111E5E}" = Catalyst Control Center HydraVision Full
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{40F2BCF4-4EED-4AD4-BFB6-A58946C561A1}" = Adobe Creative Suite 3 Production Premium
"{4D87DC92-C328-46EC-A7B4-9C88129DC696}" = Dead Space™
"{52D1D62C-FEAB-4580-849E-1DB624BADBBD}" = DiRT2
"{54194F60-988C-4D03-B922-C2B00EFDA39A}" = NVIDIA PhysX
"{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3
"{579BA58C-F33D-4970-9953-B94B43768AC3}" = Grand Theft Auto IV
"{5C9A7E65-5B71-4C7F-876A-8C6AF9E9E23D}" = Saboteur™
"{5D7767FA-7FE8-4627-9F09-AEF7A25F1E07}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.1 Patch
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6A25BF3A-5AA3-62F8-7AE1-412107673F42}" = Catalyst Control Center Graphics Light
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6B708481-748A-4EB4-97C1-CD386244FF77}" = Adobe MotionPicture Color Files
"{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}" = AHV content for Acrobat and Flash
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{73B5D990-04EA-4751-B10F-5534770B91F2}" = Adobe Color EU Recommended Settings
"{75C22B40-6D12-4439-80DC-CAB3313EADA5}" = dj_sf_software_req
"{75D84EF7-0D8C-4e70-B3FA-7B42A5D4E0EB}" = Mass Effect 2
"{7ACFB90E-8FD0-4397-AD3A-5195412623A3}" = Adobe Help Viewer CS3
"{7C3D8108-8D99-427F-A1C2-D8E0D25A469C}" = Tom Clancy's EndWar
"{82442D8F-A2B7-4038-A62E-3DDC75215AAA}" = Catalyst Control Center Core Implementation
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{845A8DB9-8802-4FD3-9FE3-938A6C46A2EC}" = Adobe Video Profiles
"{8503C901-85D7-4262-88D2-8D8B2A7B08B8}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Patch
"{86C7336D-0E3A-4953-ADF4-F4B5E0096278}" = Command & Conquer 3 Tiberium Wars(TM) MOD SDK
"{87D00EFA-985C-DFEF-0FE1-92AB2EC328C9}" = Catalyst Control Center Graphics Previews Vista
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 8168 8101E 8102E Ethernet Driver
"{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
"{8C453F13-6877-4D34-8816-009ABDE306DB}" = Prince of Persia The Sands of Time
"{8CFA9151-6404-409A-AF22-4632D04582FD}" = Assassin's Creed
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding
"{8D8024F1-2945-49A5-9B78-5AB7B11D7942}_is1" = Auslogics Registry Cleaner
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{907B4640-266B-4A21-92FB-CD1A86CD0F63}" = RollerCoaster Tycoon® 3
"{909F8EBC-EC7F-48FF-0085-475D818F0F31}" = Need for Speed Underground 2
"{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
"{9322A850-9091-4D0E-B252-3E82EDA3D94A}" = Prototype(TM)
"{9580813D-94B1-4C28-9426-A441E2BB29A5}" = Counter-Strike: Source
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific
"{A31951C5-DCD8-4DFE-A525-CFC701F54792}" = TurboV
"{AC08BBA0-96B9-431A-A7D0-D8598E493775}" = RESIDENT EVIL 5
"{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2
"{B0C539DC-FFA1-75FD-5FDF-4D1B766A527D}" = Catalyst Control Center Graphics Full New
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{BA67E3E1-25EE-4481-857D-D3CA99DA71C8}" = Adobe Setup
"{BE5F3842-8309-4754-92D5-83E02E6077A3}" = Adobe Extension Manager CS3
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{C5BD220A-EFE8-48A5-B70E-9503D535FACE}" = Adobe WAS CS3
"{CADDE354-C78C-46CB-A006-E2B178EFC271}" = Rise Of Legends
"{CB3B7C24-30A1-4961-8039-94919F5ED2EE}" = Noiseware Community Edition
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware Free Edition
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D2FCA41E-AC01-4DCD-B3A7-DC9E32363065}}_is1" = Rapture3D 2.3.22 Game
"{D3C605D8-3A5E-4BAD-965D-2C61441BF2AC}" = Adobe Photoshop CS3
"{D5A31AB1-345D-47C7-A87B-036A669F6DF1}" = Adobe XMP Panels CS3
"{D627784F-B3EE-44E8-96B1-9509B991EA34}_is1" = Auslogics Registry Defrag
"{D80A6A73-E58A-4673-AFF5-F12D7110661F}" = Call of Duty(R) - World at War(TM)
"{DA94DBCB-FA7B-7746-DDDE-1173F06D633A}" = Catalyst Control Center Graphics Full Existing
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{DC017035-1939-425F-8F86-63B462C76C6A}" = PDF Settings
"{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings
"{DDEDAF6C-488E-4CDA-8276-1CCF5F3C5C32}" = Command & Conquer 3
"{DE51FC86-7F89-D281-FCB1-A78BFE0C9044}" = ccc-core-static
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E07B7A31-E160-466D-A003-3BB7B8989D52}" = Full Tilt Poker.Net
"{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"{E5141379-B2D9-4BBC-BB2A-5805541571DD}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{E9C18EBD-85BE-47D0-AA73-3FEDCC976B04}" = Toolbox
"{EB1F288D-4835-6D99-B9F4-09983AA60B17}" = Catalyst Control Center Graphics Previews Common
"{F0AB2BE7-1C66-B4FE-DA8C-127CE781E893}" = CCC Help English
"{F11ADC64-C89E-47F4-A0B3-3665FF859397}" = World in Conflict
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2835483-37F2-4123-B4FE-0E77D58447F2}" = Far Cry 2
"{F7338FA3-DAB5-49B2-900D-0AFB5760C166}" = PC Probe II
"{F843C6A3-224D-4615-94F8-3C461BD9AEA0}" = Jasc Paint Shop Pro 9
"{FDBBAF14-5ED8-49B7-A5BE-1C35668B074D}" = Unreal Tournament 3 (LG)
"{FEFAF112-4DA8-479C-89E2-7DE25091711A}" = Call of Juarez - Bound in Blood
"{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings
"3554AA4B-9B0B-451a-A269-2B5F53982209_is1" = ThreatFire
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe_aefc483f26b23ab60cc5653016d5017" = Adobe Creative Suite 3 Production Premium hinzufügen oder entfernen
"ASIO4ALL" = ASIO4ALL
"avast!" = avast! Antivirus
"DivX Setup.divx.com" = DivX-Setup
"FL Studio 8" = FL Studio 8
"Free Download Manager_is1" = Free Download Manager 3.0
"HijackThis" = HijackThis 2.0.2
"IL Download Manager" = IL Download Manager
"InstallShield_{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch
"InstallShield_{06F80017-8F98-4C94-B868-52358569FC32}" = Command & Conquer Generals
"InstallShield_{1170D24F-42B7-40CF-AA1B-6395CE562354}" = Gears of War
"InstallShield_{3BD633E0-4BF8-4499-9149-88F0767D449C}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
"InstallShield_{5D7767FA-7FE8-4627-9F09-AEF7A25F1E07}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.1 Patch
"InstallShield_{8503C901-85D7-4262-88D2-8D8B2A7B08B8}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
"InstallShield_{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
"InstallShield_{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
"InstallShield_{9322A850-9091-4D0E-B252-3E82EDA3D94A}" = Prototype(TM)
"InstallShield_{CADDE354-C78C-46CB-A006-E2B178EFC271}" = Rise Of Legends
"InstallShield_{D80A6A73-E58A-4673-AFF5-F12D7110661F}" = Call of Duty(R) - World at War(TM)
"InstallShield_{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"InstallShield_{E5141379-B2D9-4BBC-BB2A-5805541571DD}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch
"InstallShield_{FEFAF112-4DA8-479C-89E2-7DE25091711A}" = Call of Juarez - Bound in Blood
"LogMeIn Hamachi" = LogMeIn Hamachi
"mIRC" = mIRC
"Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"OpenAL" = OpenAL
"PoiZone" = PoiZone
"Red Alert 3 English Language Pack" = Command & Conquer™ Alarmstufe Rot 3 - Englisches Sprachpaket
"RiseOfNations 1.0" = Microsoft Rise Of Nations
"RivaTuner" = RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition
"S2TNG" = Die Siedler II - Die nächste Generation
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.5.0
"Steam App 17410" = Mirror's Edge
"Steam App 17460" = Mass Effect
"Steam App 400" = Portal
"Steam App 43110" = Metro 2033
"Steam App 440" = Team Fortress 2
"Steam App 8210" = Sam and Max 102: Situation: Comedy
"Steam App 9860" = Chronicles of Riddick: Assault on Dark Athena
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 2 Server_is1" = TeamSpeak 2 Server RC2
"Toxic Biohazard" = Toxic Biohazard
"Tropico3" = Tropico 3 1.00
"UndeletePlus™_is1" = UndeletePlus™ 3.0.0.602
"VLC media player" = VLC media player 1.0.3
"WinRAR archiver" = WinRAR Archivierer

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{974C4B12-4D02-4879-85E0-61C95CC63E9E}" = Fallout 3
"InstallShield_{FDBBAF14-5ED8-49B7-A5BE-1C35668B074D}" = Unreal Tournament 3 (LG)

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Antivirus Events ]
Error - 22.06.2010 08:46:32 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\ProgramData\COMODO\Firewall Pro\cislogs.sdb failed, 00000005.

Error - 23.06.2010 12:49:36 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\Users\Bernd\AppData\Local\Temp\nsv823A.tmp failed, 00000005.

Error - 23.06.2010 12:49:40 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\Users\Bernd\AppData\Roaming\Microsoft\Windows\Cookies\index.dat failed,
 00000005.

Error - 23.06.2010 16:37:02 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\Users\Bernd\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
 failed, 00000005.

Error - 24.06.2010 08:16:32 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\Users\Bernd\AppData\Local\Temp\nsm89EB.tmp failed, 00000005.

Error - 24.06.2010 08:16:32 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\Users\Bernd\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
 failed, 00000005.

Error - 24.06.2010 08:16:35 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\ProgramData\COMODO\Firewall Pro\cislogs.sdb failed, 00000005.

Error - 24.06.2010 21:16:35 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\Users\Bernd\AppData\Local\Temp\nsa76C5.tmp failed, 00000005.

Error - 24.06.2010 21:16:35 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\Users\Bernd\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
 failed, 00000005.

Error - 24.06.2010 21:16:39 | Computer Name = Bernd | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
 C:\ProgramData\COMODO\Firewall Pro\cislogs.sdb failed, 00000005.

[ Application Events ]
Error - 15.05.2010 09:10:40 | Computer Name = Bernd | Source = VSS | ID = 8193
Description =

Error - 15.05.2010 19:44:46 | Computer Name = Bernd | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung ashDisp.exe, Version 4.8.1367.0, Zeitstempel
 0x4b0c7189, fehlerhaftes Modul ashUInt.dll, Version 4.8.1367.0, Zeitstempel 0x4b0c6fff,
 Ausnahmecode 0xc0000005, Fehleroffset 0x0001feec,  Prozess-ID 0xc6c, Anwendungsstartzeit
 01caf44be6161d87.

Error - 18.05.2010 10:36:06 | Computer Name = Bernd | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung hl2.exe, Version 0.0.0.0, Zeitstempel 0x4445c334,
 fehlerhaftes Modul d3d9.dll, Version 6.0.6001.18000, Zeitstempel 0x4791a65d, Ausnahmecode
 0xc0000005, Fehleroffset 0x0004bc24,  Prozess-ID 0xef4, Anwendungsstartzeit 01caf69507c9ac10.

Error - 18.05.2010 12:47:22 | Computer Name = Bernd | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung hl2.exe, Version 0.0.0.0, Zeitstempel 0x4445c334,
 fehlerhaftes Modul datacache.dll, Version 0.0.0.0, Zeitstempel 0x46439c7b, Ausnahmecode
 0xc0000005, Fehleroffset 0x0000b423,  Prozess-ID 0xc24, Anwendungsstartzeit 01caf6a95cd08cb0.

Error - 19.05.2010 20:43:05 | Computer Name = Bernd | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung Vista-ShutdownTimer.exe, Version 1.6.0.28, Zeitstempel
 0x47023efd, fehlerhaftes Modul Vista-ShutdownTimer.exe, Version 1.6.0.28, Zeitstempel
 0x47023efd, Ausnahmecode 0xc0000005, Fehleroffset 0x000280f1,  Prozess-ID 0x4ac,
Anwendungsstartzeit 01caf7b5628a59cf.

Error - 19.05.2010 20:43:30 | Computer Name = Bernd | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung Vista-ShutdownTimer.exe, Version 1.6.0.28, Zeitstempel
 0x47023efd, fehlerhaftes Modul Vista-ShutdownTimer.exe, Version 1.6.0.28, Zeitstempel
 0x47023efd, Ausnahmecode 0xc0000005, Fehleroffset 0x000280f1,  Prozess-ID 0xc38,
Anwendungsstartzeit 01caf7b5780ec60f.

Error - 20.05.2010 17:28:18 | Computer Name = Bernd | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung generals.exe, Version 0.0.0.0, Zeitstempel 0x3e20eefe,
 fehlerhaftes Modul ~df394b.tmp, Version 0.0.0.0, Zeitstempel 0x3d21acd6, Ausnahmecode
 0xc0000005, Fehleroffset 0x00003863,  Prozess-ID 0x520, Anwendungsstartzeit 01caf86357b3f59b.

Error - 23.05.2010 16:39:02 | Computer Name = Bernd | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung CSpace.exe, Version 0.0.0.0, Zeitstempel 0x47b9a3e6,
 fehlerhaftes Modul QtCore4.dll, Version 4.3.3.0, Zeitstempel 0x47b9423e, Ausnahmecode
 0xc0000094, Fehleroffset 0x00021304,  Prozess-ID 0xfac, Anwendungsstartzeit 01cafa9d424c612e.

Error - 24.05.2010 16:14:28 | Computer Name = Bernd | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\ProgramData\DivX\RunAsUser\RUNASUSERPROCESS.exe".
Die
 abhängige Assemblierung "Microsoft.VC80.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.4053""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".

Error - 24.05.2010 16:14:29 | Computer Name = Bernd | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\ProgramData\DivX\RunAsUser\RUNASUSERPROCESS.exe".
Die
 abhängige Assemblierung "Microsoft.VC80.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.4053""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".

[ NetLimiter 3 Events ]
Error - 22.06.2010 08:40:56 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

Error - 22.06.2010 15:00:16 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

Error - 22.06.2010 15:06:03 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

Error - 22.06.2010 22:39:13 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

Error - 23.06.2010 10:55:20 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

Error - 23.06.2010 15:28:03 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

Error - 24.06.2010 01:17:43 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

Error - 24.06.2010 18:30:16 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

Error - 24.06.2010 20:01:23 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

Error - 25.06.2010 11:03:55 | Computer Name = Bernd | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired

[ System Events ]
Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

Error - 25.06.2010 11:05:14 | Computer Name = Bernd | Source = Service Control Manager | ID = 7001
Description =

[ TuneUp Events ]
Error - 10.10.2009 05:45:25 | Computer Name = Bernd | Source = TuneUp Program Statistics | ID = 131840
Description =


< End of report >

So hab alles gemacht was du geschrieben hast. Bis auf den Gmer Scan bei dem ich die Häkchen nicht setzen konnte.

Hoffe Ihr könnt mir helfen !!

LG
BERND

#4

Zitat

Das ist der Notepad-Inhalt der Datei

Hahaha Nächste mal versuchs mit nem Hex Editor, Notepad wird da wohl eher weniger was anfangen können.

Edit:

Code

0000000 c12b 59c7 167c d82c a830 dbe1 7bc9 f387
0000010 0159 38f9 8137 32d9 d939 ac9d 9b18 40e8
0000020 1f18 ddf7 492e 9fad 6214 7c1e 59f4 478c
0000030 a877 2958 45d5 0cb7 ebfb 30f6 58fd 8b97
0000040 0773 18d7 c462 effb d617 704b bef1 62e2
0000050 d615 af50 10e4 6508 af72 eb95 36b8 aeb8
0000060 15cf 2293 dd97 b934 dd8f ab19 def1 befa
0000070 c08c 286b 7281 8b40 108c fd8e ca27
000007e

Recht wenig, dass ist keine ganze Datei eventuell sind das ja Daten von einer Malware die da gespeichert wurden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Hab die Datei ja bei megaupload hochgeladen falls sich das jemand mal ansehen möchte

#6 Ich bin bis Montag noch anwesend. Du kannst aber inzwischen folgendes machen. Werde mich am Montag wieder melden:

Schritt 1

Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.

Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6 Update 20) von SUN. Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den Button "Continue" klicken. Dort die jre-6u20-windows-i586.exe downloaden und anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren.

Schritt 2

Mehrere Anti-Virus-Programme

Code

COMODO Internet Security
Avast

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast und deinstalliere die anderen.

Schritt 3

Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von diesem Downloadspiegel herunter:

Malwarebytes


* Anwendbar auf Windows 2000, XP, Vista und Windows 7.
* Installiere das Programm in den vorgegebenen Pfad.
* Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
* Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
* Aktiviere "Komplett Scan durchführen" => Scan.
* Wähle alle verfügbaren Laufwerke aus und starte den Scan.
* Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
* Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden.
* Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
* Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
* Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
* Berichte, wie der Rechner nun läuft.

#7 Ich habe nur die Comodo Firewall und Defense + installiert, nicht aber den Comodo Virenscanner. Als Virenscanner habe ich Avast Antivirus.


Malwarebytes hat dies gefunden:

Code

Registry Data Items Infected:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Files Infected:
C:\Program Files (x86)\Testong\Toxic.dll (Trojan.Backdoor) -> No action taken.

Das sagt Virustotal zu der Datei:

Code

a-squared     4.5.0.50     2010.05.10     -
AhnLab-V3     2010.05.11.00     2010.05.10     Win-Trojan/Xema.variant
AntiVir     8.2.1.236     2010.05.11     -
Antiy-AVL     2.0.3.7     2010.05.11     -
Authentium     5.2.0.5     2010.05.11     -
Avast     4.8.1351.0     2010.05.11     -
Avast5     5.0.332.0     2010.05.11     -
AVG     9.0.0.787     2010.05.11     BackDoor.Hupigon4.RCG
BitDefender     7.2     2010.05.11     -
CAT-QuickHeal     10.00     2010.05.11     Trojan.Agent.IRC
ClamAV     0.96.0.3-git     2010.05.11     PUA.Packed.ASPack
Comodo     4823     2010.05.11     -
DrWeb     5.0.2.03300     2010.05.11     -
eSafe     7.0.17.0     2010.05.10     -
eTrust-Vet     35.2.7479     2010.05.11     -
F-Prot     4.5.1.85     2010.05.10     -
F-Secure     9.0.15370.0     2010.05.11     -
Fortinet     4.1.133.0     2010.05.11     W32/Generic.A!tr.bdr
GData     21     2010.05.11     -
Ikarus     T3.1.1.84.0     2010.05.11     -
Jiangmin     13.0.900     2010.05.11     -
Kaspersky     7.0.0.125     2010.05.11     -
McAfee     5.400.0.1158     2010.05.11     BackDoor-AWQ.b
McAfee-GW-Edition     2010.1     2010.05.11     BackDoor-AWQ.b
Microsoft     1.5703     2010.05.11     -
NOD32     5104     2010.05.11     -
Norman     6.04.12     2010.05.11     W32/Smalldoor.EQNW
nProtect     2010-05-11.01     2010.05.11     Backdoor/W32.Hupigon.412672.AL
Panda     10.0.2.7     2010.05.10     Bck/Hupigon.AZG
PCTools     7.0.3.5     2010.05.11     Backdoor.Hupigon.A!ct
Prevx     3.0     2010.05.11     High Risk System Back Door
Rising     22.47.01.04     2010.05.11     Trojan.Win32.Generic.51F4B235
Sophos     4.53.0     2010.05.11     -
Sunbelt     6290     2010.05.11     Trojan.Win32.Malware
Symantec     20101.1.0.89     2010.05.11     -
TheHacker     6.5.2.0.277     2010.05.10     Backdoor/Hupigon.cmry
TrendMicro     9.120.0.1004     2010.05.11     -
TrendMicro-HouseCall     9.120.0.1004     2010.05.11     -
VBA32     3.12.12.4     2010.05.11     -
ViRobot     2010.5.11.2310     2010.05.11     Backdoor.Win32.Hupigon.412672.BG
VirusBuster     5.0.27.0     2010.05.10     Trojan.Delf.EBYY

Die Datei war in der Quarantäne von AntiMalware, hab sie kurz restored zu virustotal hochgeladen und jetzt hab ich sie gelöscht.

Was soll ich jetzt tun?

PS. Vielen Dank für die Hilfe !!

#8 Backdoor Warnung

Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.

Zitat

Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit

#9 Ich würde gerne versuchen das System zu bereinigen weil ich unendlich viel Zeit in die letzte Installation stecken musste.

#10 Schritt 1

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.
• BleepingComputer
• ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können.

Schritt 2

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Schritt 3

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

#11 Geht beides nicht!

"ComboFix funktioniert nicht mehr richtig." Windows Fehlermeldung

Und Rootkitreveal gibt aus das es nicht mit 64-Bit Versionen zusammen arbeitet.

:-/

#12 Ou mein Fehler Hab die Version übersehen.

Schritt 1

• Eset Online Scanner (NOD32)
• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Voraussetzung: Internet Explorer (IE) 5.0 oder höher
• Haken bei "YES, I accept the Terms of Use" machen
• Start
• ActiveX-Steuerelement installieren
• Start
• Signaturen werden heruntergeladen
• Haken machen bei "Remove found threads"
• Haken machen bei "Remove found threads" und "Scan unwanted applications"
• Scan
• Scanende
• Browser schließen
• Explorer öffnen
• C:\Programme\EsetOnlineScanner\log.txt
• Log hier posten
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen.


Schritt 2

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.