Home » Spyware & Browser Hijacker Support Forum » Angeblich durch Bundesamt gesperrt. Hier sind meine OLT-Dateien » Themenansicht

Angeblich durch Bundesamt gesperrt. Hier sind meine OLT-Dateien
#0
18.12.2012, 17:18
Steeler
...neu hier

Beiträge: 3
#1 Hi,

leider wurde mein PC gehackt, aber zum Glück habt ihr ja ein Totorial zur Problemlösung gemacht (http://board.protecus.de/t40182.htm). Hier ist meine "Vorarbeit":

Beschreibung:

• Seit dem 16.12.12
• Wenn ich mit meinem PC eine Internetverbindung herstelle, kommt ein Fenster, in dem (in fehlerhaftem Deutsch) steht, dass mein PC gesperrt wurde und ich 100 Euro bezahlen soll.
• Leider Nein.
• Nur das in 2. Angegebene.
• Nur das in 2. Angegebene.

OLT.txt:

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

[color=#E56717]========== LOP Check ==========[/color]

[2012.12.15 19:10:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.minecraft
[2012.08.01 14:52:08 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.minecraft 1.2.5
[2012.06.16 17:50:04 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.Nitrous
[2012.07.30 21:59:09 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.platinum
[2012.08.12 01:10:59 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.techniclauncher
[2012.05.01 17:57:28 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Awesomium
[2012.10.02 19:18:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Baalp
[2012.05.19 16:59:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Blockscape
[2011.08.21 16:53:47 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Command & Conquer 3 Tiberium Wars
[2012.10.01 18:13:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Dooqy
[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Efelu
[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ephico
[2012.06.17 17:07:56 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\FOG Downloader
[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Gexomo
[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ixtu
[2011.10.16 13:42:17 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\kompozer.net
[2012.08.07 01:36:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Kunoi
[2012.02.15 22:12:37 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Leadertech
[2012.09.30 13:16:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Liyzoh
[2011.09.30 23:45:04 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\LolClient
[2012.09.30 13:16:34 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Lufyp
[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Luizys
[2012.06.16 17:05:57 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\MinecraftRAR
[2012.06.16 17:07:31 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\MinecraftRAR2
[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Mofak
[2012.10.19 13:01:47 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Myxake
[2012.04.15 14:37:31 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Need for Speed World
[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Nigoum
[2011.08.17 00:20:12 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Origin
[2012.08.06 13:36:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ovolw
[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Payrhi
[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Qeeqaf
[2011.07.30 15:17:41 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Red Alert 3
[2012.03.11 22:02:03 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\RotMG.Production
[2012.12.17 22:57:58 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\SoftGrid Client
[2012.04.21 12:48:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TeamViewer
[2012.10.01 18:13:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Teux
[2011.07.12 18:57:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TP
[2012.12.18 16:51:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TS3Client
[2011.09.14 14:35:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\ts3overlay
[2012.08.07 01:36:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Tuma
[2011.12.24 23:25:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ubisoft
[2012.08.07 01:36:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Umezc
[2012.10.01 18:13:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Umvo
[2012.10.02 19:18:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Uqzuyv
[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Uraw
[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Utca
[2012.05.04 15:50:21 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\wargaming.net
[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Wedisa
[2012.08.06 13:36:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Wyupi
[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xoafc
[2012.10.02 19:18:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xyilaw
[2012.08.06 13:36:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Yforq
[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ykuhx
[2012.10.19 03:18:22 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ymvouk
[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ypkasu
[2012.08.04 00:21:52 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Yswyky
[2012.09.30 13:16:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ytehno

[color=#E56717]========== Purity Check ==========[/color]



< End of report >

Extras.txt:


Error - 26.08.2011 08:26:07 | Computer Name = admin-PC | Source = MCUpdate | ID = 0
Description = 14:25:57 - Fehler beim Herstellen der Internetverbindung. 14:25:57
- Serververbindung konnte nicht hergestellt werden..

Error - 27.08.2011 13:40:49 | Computer Name = admin-PC | Source = MCUpdate | ID = 0
Description = 19:40:49 - Fehler beim Herstellen der Internetverbindung. 19:40:49
- Serververbindung konnte nicht hergestellt werden..

Error - 27.08.2011 13:40:59 | Computer Name = admin-PC | Source = MCUpdate | ID = 0
Description = 19:40:54 - Fehler beim Herstellen der Internetverbindung. 19:40:54
- Serververbindung konnte nicht hergestellt werden..

Error - 28.08.2011 07:47:45 | Computer Name = admin-PC | Source = MCUpdate | ID = 0
Description = 13:47:45 - Fehler beim Herstellen der Internetverbindung. 13:47:45
- Serververbindung konnte nicht hergestellt werden..

Error - 28.08.2011 07:47:55 | Computer Name = admin-PC | Source = MCUpdate | ID = 0
Description = 13:47:51 - Fehler beim Herstellen der Internetverbindung. 13:47:51
- Serververbindung konnte nicht hergestellt werden..

Error - 30.08.2011 07:29:24 | Computer Name = admin-PC | Source = MCUpdate | ID = 0
Description = 13:29:24 - Fehler beim Herstellen der Internetverbindung. 13:29:24
- Serververbindung konnte nicht hergestellt werden..

Error - 30.08.2011 07:29:35 | Computer Name = admin-PC | Source = MCUpdate | ID = 0
Description = 13:29:29 - Fehler beim Herstellen der Internetverbindung. 13:29:29
- Serververbindung konnte nicht hergestellt werden..

Error - 31.08.2011 09:27:49 | Computer Name = admin-PC | Source = MCUpdate | ID = 0
Description = 15:27:49 - Fehler beim Herstellen der Internetverbindung. 15:27:49
- Serververbindung konnte nicht hergestellt werden..

Error - 31.08.2011 09:28:03 | Computer Name = admin-PC | Source = MCUpdate | ID = 0
Description = 15:27:54 - Fehler beim Herstellen der Internetverbindung. 15:27:54
- Serververbindung konnte nicht hergestellt werden..

[ System Events ]
Error - 13.12.2012 12:16:34 | Computer Name = admin-PC | Source = Service Control Manager | ID = 7022
Description = Der Dienst "Intel(R) Management & Security Application User Notification
Service" wurde nicht richtig gestartet.

Error - 14.12.2012 17:59:00 | Computer Name = admin-PC | Source = Service Control Manager | ID = 7022
Description = Der Dienst "Windows Update" wurde nicht richtig gestartet.

Error - 15.12.2012 08:26:10 | Computer Name = admin-PC | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
Steam Client Service erreicht.

Error - 15.12.2012 08:26:10 | Computer Name = admin-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Steam Client Service" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053

Error - 15.12.2012 08:33:08 | Computer Name = admin-PC | Source = NetBT | ID = 4321
Description = Der Name "WORKGROUP :1d" konnte nicht auf der Schnittstelle mit
IP-Adresse 25.209.188.94 registriert werden. Der Computer mit IP-Adresse 25.85.233.180
hat nicht zugelassen, dass dieser Computer diesen Namen verwendet.

Error - 16.12.2012 12:35:28 | Computer Name = admin-PC | Source = bowser | ID = 8003
Description =

Error - 17.12.2012 10:50:10 | Computer Name = admin-PC | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Windows Search" wurde mit folgendem dienstspezifischem
Fehler beendet: %%-1073473535.

Error - 17.12.2012 10:50:10 | Computer Name = admin-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Search" wurde unerwartet beendet. Dies ist bereits
1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt:
Neustart des Diensts.

Error - 17.12.2012 11:57:33 | Computer Name = admin-PC | Source = bowser | ID = 8003
Description =

Error - 18.12.2012 11:37:23 | Computer Name = admin-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Windows Search" wurde mit folgendem Fehler beendet: %%1450


< End of report >

Würde mich sehr freuen, wenn ihr mir helfen könntet ;)
Seitenanfang Seitenende
18.12.2012, 22:17
Swisstreasure
Moderator

Beiträge: 5694
#2 Herzlich Willkommen auf dem Protecus Forum

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
Poste das komplette OTL Log. Das ist nur das Ende des logs.
Seitenanfang Seitenende
19.12.2012, 16:48
Steeler
...neu hier

Themenstarter

Beiträge: 3
#3 Jop, hab ich wohl beim CopyPasten gefailt. Hier also das komplette Log. Hoffe du kannst mir jetzt helfen. Und schon mal vielen Dank für die zügige Antwort! ;)


OTL logfile created on: 18.12.2012 16:52:18 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\admin\Downloads
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

11,97 Gb Total Physical Memory | 9,71 Gb Available Physical Memory | 81,18% Memory free
23,93 Gb Paging File | 21,92 Gb Available in Paging File | 91,60% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 1397,16 Gb Total Space | 850,77 Gb Free Space | 60,89% Space Free | Partition Type: NTFS
Drive D: | 5,55 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

Computer Name: ADMIN-PC | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2012.12.18 16:50:42 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\admin\Downloads\OTL.exe
PRC - [2012.10.10 21:23:42 | 001,258,856 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2012.10.02 13:15:38 | 000,382,824 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2012.09.09 04:38:21 | 000,076,888 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe
PRC - [2012.07.27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.06.14 16:20:22 | 000,109,064 | ---- | M] (Wajam) -- C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe
PRC - [2011.10.01 08:30:22 | 000,219,496 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe
PRC - [2011.10.01 08:30:18 | 000,508,776 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe
PRC - [2011.07.28 08:52:06 | 000,018,472 | ---- | M] (WeGame.com, Inc.) -- C:\Program Files (x86)\WeGame\WGClientService.exe
PRC - [2010.04.16 15:10:58 | 000,036,864 | ---- | M] (Realtek) -- C:\Program Files (x86)\Realtek\11n USB Wireless LAN Utility\RtlService.exe
PRC - [2009.11.04 12:39:26 | 002,320,920 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
PRC - [2009.11.04 12:39:24 | 000,268,824 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
PRC - [2009.08.19 08:55:00 | 000,185,632 | ---- | M] (Ralink Technology, Corp.) -- C:\Program Files (x86)\Ralink\Common\RaRegistry.exe


[color=#E56717]========== Modules (No Company Name) ==========[/color]


[color=#E56717]========== Services (SafeList) ==========[/color]

SRV - [2012.12.13 17:09:06 | 000,541,168 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2012.12.10 17:29:46 | 002,465,712 | ---- | M] (LogMeIn Inc.) [Auto | Running] -- C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc)
SRV - [2012.10.10 21:23:42 | 001,258,856 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2012.10.02 13:15:38 | 000,382,824 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2012.09.09 04:38:21 | 000,076,888 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)
SRV - [2012.09.04 09:12:54 | 000,678,416 | ---- | M] () [Auto | Running] -- C:\Programme\EslWire\service\WireHelperSvc.exe -- (EslWireHelper)
SRV - [2012.07.27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.07.21 21:20:17 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.07.03 12:19:28 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.06.14 16:20:22 | 000,109,064 | ---- | M] (Wajam) [Auto | Running] -- C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe -- (WajamUpdater)
SRV - [2012.06.11 11:59:06 | 000,018,360 | ---- | M] (Overwolf Ltd) [On_Demand | Stopped] -- C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe -- (OverwolfUpdaterService)
SRV - [2011.10.01 08:30:22 | 000,219,496 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)
SRV - [2011.10.01 08:30:18 | 000,508,776 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)
SRV - [2011.09.27 20:04:08 | 000,359,192 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Common Files\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2011.08.17 16:52:05 | 002,358,656 | ---- | M] (TeamViewer GmbH) [Disabled | Stopped] -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe -- (TeamViewer6)
SRV - [2011.07.28 08:52:06 | 000,018,472 | ---- | M] (WeGame.com, Inc.) [Auto | Running] -- C:\Program Files (x86)\WeGame\WGClientService.exe -- (WeGameClientService)
SRV - [2011.05.15 20:25:00 | 004,264,632 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\Windows\SysWOW64\GameMon.des -- (npggsvc)
SRV - [2011.03.28 20:11:06 | 002,292,096 | ---- | M] (Microsoft Corp.) [Auto | Running] -- C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE -- (wlidsvc)
SRV - [2010.04.16 15:10:58 | 000,036,864 | ---- | M] (Realtek) [Auto | Running] -- C:\Program Files (x86)\Realtek\11n USB Wireless LAN Utility\RtlService.exe -- (Realtek11nSU)
SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.01.09 20:34:24 | 004,925,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2009.11.04 12:39:26 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS)
SRV - [2009.11.04 12:39:24 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS)
SRV - [2009.08.19 08:55:28 | 000,212,256 | ---- | M] (Ralink Technology, Corp.) [Auto | Running] -- C:\Program Files (x86)\Ralink\Common\RaRegistry64.exe -- (RalinkRegistryWriter64)
SRV - [2009.08.19 08:55:00 | 000,185,632 | ---- | M] (Ralink Technology, Corp.) [Auto | Running] -- C:\Program Files (x86)\Ralink\Common\RaRegistry.exe -- (RalinkRegistryWriter)
SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV:64bit: - [2012.09.04 09:12:44 | 000,147,472 | ---- | M] (<Turtle Entertainment>;) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\ESLWireACD.sys -- (ESLWireAC)
DRV:64bit: - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.10.01 08:30:22 | 000,022,376 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftvollh.sys -- (Sftvol)
DRV:64bit: - [2011.10.01 08:30:18 | 000,268,648 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftplaylh.sys -- (Sftplay)
DRV:64bit: - [2011.10.01 08:30:18 | 000,025,960 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftredirlh.sys -- (Sftredir)
DRV:64bit: - [2011.10.01 08:30:10 | 000,764,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftfslh.sys -- (Sftfs)
DRV:64bit: - [2011.09.02 07:30:36 | 000,060,696 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LMouFilt.Sys -- (LMouFilt)
DRV:64bit: - [2011.09.02 07:30:24 | 000,066,840 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LHidFilt.Sys -- (LHidFilt)
DRV:64bit: - [2011.03.21 12:22:06 | 000,452,200 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.11.25 13:59:16 | 000,694,888 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rtl8192su.sys -- (RTL8192su)
DRV:64bit: - [2010.11.21 04:24:33 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2010.11.21 04:23:47 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2010.11.21 04:23:47 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbGD.sys -- (TsUsbGD)
DRV:64bit: - [2010.06.21 23:07:36 | 000,131,688 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)
DRV:64bit: - [2009.11.23 17:38:00 | 000,016,008 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGVirHid.sys -- (LGVirHid)
DRV:64bit: - [2009.11.23 17:37:50 | 000,022,408 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGBusEnum.sys -- (LGBusEnum)
DRV:64bit: - [2009.09.17 11:54:54 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (HECIx64)
DRV:64bit: - [2009.08.23 04:08:10 | 000,056,320 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\L1E62x64.sys -- (L1E)
DRV:64bit: - [2009.07.24 19:28:52 | 000,036,208 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nx6000.sys -- (MSHUSBVideo)
DRV:64bit: - [2009.07.16 04:38:40 | 000,015,416 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ASACPI.sys -- (MTsensor)
DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 21:37:05 | 006,108,416 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx)
DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2009.03.18 16:35:42 | 000,033,856 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\hamachi.sys -- (hamachi)
DRV:64bit: - [2008.08.06 13:42:26 | 000,022,216 | ---- | M] (Licensed for Gebhard Software) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\DRHARD64.sys -- (DRHARD64)
DRV:64bit: - [2007.11.06 08:40:58 | 001,041,920 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\WlanGZG.sys -- (ZY202_VS)
DRV:64bit: - [2007.11.06 08:40:58 | 000,041,280 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\ZDCNDIS6a64.sys -- (ZDCNDIS6a64)
DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
DRV - [2008.08.06 13:42:26 | 000,022,216 | ---- | M] (Licensed for Gebhard Software) [Kernel | Auto | Running] -- C:\Windows\SysWOW64\drivers\DRHARD64.sys -- (DRHARD64)
DRV - [2007.11.06 08:40:58 | 000,041,280 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\ZDCNDIS6a64.sys -- (ZDCNDIS6a64)
DRV - [2005.01.04 01:43:08 | 000,004,682 | ---- | M] (INCA Internet Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\npptNT2.sys -- (NPPTNT2)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = C3 0E 15 2A 9E 41 CC 01 [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


[color=#E56717]========== FireFox ==========[/color]

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_271.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.3.1: C:\Windows\system32\npDeployJava1.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.3.1: C:\Program Files\Oracle\JavaFX 2.0 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_271.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3555.0308: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@mail.ru/GameCenter: C:\Users\admin\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll (Mail.Ru)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\admin\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\admin\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll (Ubisoft)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.07.21 21:20:17 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.07.21 21:20:17 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins

[2011.10.21 15:34:55 | 000,000,000 | ---D | M] (No name found) -- C:\Users\admin\AppData\Roaming\mozilla\Extensions
[2012.11.11 21:40:52 | 000,000,000 | ---D | M] (No name found) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\7lea8qia.Standard-Benutzer\extensions
[2012.08.11 03:11:17 | 000,036,333 | ---- | M] () (No name found) -- C:\Users\admin\AppData\Roaming\mozilla\firefox\profiles\7lea8qia.Standard-Benutzer\extensions\{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}.xpi
[2012.04.02 14:35:04 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.03.02 21:14:04 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files (x86)\mozilla firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012.07.21 21:20:17 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.07.16 00:41:28 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.07.16 00:41:28 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.07.16 00:41:28 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.16 00:41:28 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.16 00:41:28 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.16 00:41:28 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml

[color=#E56717]========== Chrome ==========[/color]

CHR - homepage:
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}
CHR - homepage:
CHR - plugin: Shockwave Flash (Enabled) = C:\Users\admin\AppData\Local\Google\Chrome\Application\21.0.1180.79\PepperFlash\pepflashplayer.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Users\admin\AppData\Local\Google\Chrome\Application\23.0.1271.97\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_271.dll
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Users\admin\AppData\Local\Google\Chrome\Application\23.0.1271.97\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\admin\AppData\Local\Google\Chrome\Application\23.0.1271.97\pdf.dll
CHR - plugin: Wajam (Enabled) = C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL
CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: NVIDIA 3D Vision (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll
CHR - plugin: NVIDIA 3D VISION (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll
CHR - plugin: Pando Web Plugin (Enabled) = C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll
CHR - plugin: Uplay PC (Enabled) = C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll
CHR - plugin: Windows Live\u0099 Photo Gallery (Enabled) = C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll
CHR - plugin: Google Update (Enabled) = C:\Users\admin\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll
CHR - Extension: Wajam = C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\

O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.0 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Wajam) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files (x86)\Wajam\IE\priam_bho.dll (Wajam)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O4:64bit: - HKLM..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
O4:64bit: - HKLM..\Run: [Launch LCDMon] C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [Launch LGDCore] C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [Launch LgDeviceAgent] C:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - HKCU..\Run: [GameCenterMailRu] "C:\Users\admin\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -autostart File not found
O4 - HKCU..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe ()
O4 - HKCU..\Run: [Steam] C:\Program Files (x86)\Steam\steam.exe (Valve Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000008 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKCU\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKCU\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKCU\..Trusted Domains: sony.com ([]* in Trusted sites)
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab (Java Plug-in 10.3.1)
O16:64bit: - DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab (Java Plug-in 1.7.0_03)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab (Java Plug-in 1.7.0_03)
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} https://oas.support.microsoft.com/ActiveX/MSDcode.cab (Microsoft Data Collection Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {C8BC46C7-921C-4102-B67D-F1F7E65FB0BE} https://battlefield.play4free.com/static/updater/BP4FUpdater_1.0.80.2.cab (Battlefield Play4Free Updater)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{707AF2E1-0A69-4B90-9D35-C60D4147C5A5}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8716F703-20F4-4275-8883-BFF0086027E5}: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\skype-ie-addon-data - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O20:64bit: - Winlogon\Notify\LBTWlgn: DllName - (c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll) - c:\Programme\Common Files\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.08.25 07:27:21 | 000,000,133 | R--- | M] () - D:\autorun.inf -- [ UDF ]
O33 - MountPoints2\{7bc54b35-a252-11e0-9ffd-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{7bc54b35-a252-11e0-9ffd-806e6f6e6963}\Shell\AutoRun\command - "" = SETUP.EXE
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)


[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2012.12.11 16:12:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Hamachi
[2012.12.11 16:12:48 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\LogMeIn Hamachi
[2012.11.22 18:44:14 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GeoGebra 4
[2012.11.19 22:25:46 | 000,000,000 | ---D | C] -- C:\Users\admin\bluej
[2012.11.19 15:34:05 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\NVIDIA
[2012.11.19 15:22:46 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BlueJ
[2012.11.19 15:22:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BlueJ
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2012.12.18 16:51:00 | 000,001,120 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-832805897-3380012113-666509030-1001UA.job
[2012.12.18 16:47:24 | 000,021,664 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.12.18 16:47:24 | 000,021,664 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.12.18 16:43:45 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.12.18 16:43:27 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012.12.18 16:38:10 | 1047,044,094 | -HS- | M] () -- C:\hiberfil.sys
[2012.12.17 22:51:00 | 000,001,068 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-832805897-3380012113-666509030-1001Core.job
[2012.12.16 23:58:45 | 000,001,045 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2012.12.16 23:58:43 | 000,175,104 | ---- | M] () -- C:\Users\admin\wgsdgsdgdsgsd.exe
[2012.12.14 22:49:23 | 000,279,272 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.11.28 20:20:19 | 000,000,222 | ---- | M] () -- C:\Users\admin\Desktop\Call of Duty Black Ops II.url
[2012.11.28 20:20:19 | 000,000,222 | ---- | M] () -- C:\Users\admin\Desktop\Call of Duty Black Ops II - Zombies.url
[2012.11.28 20:20:19 | 000,000,222 | ---- | M] () -- C:\Users\admin\Desktop\Call of Duty Black Ops II - Multiplayer.url
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2012.12.16 23:58:45 | 000,001,045 | ---- | C] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2012.12.16 23:58:44 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012.12.16 23:58:43 | 000,175,104 | ---- | C] () -- C:\Users\admin\wgsdgsdgdsgsd.exe
[2012.11.28 20:20:19 | 000,000,222 | ---- | C] () -- C:\Users\admin\Desktop\Call of Duty Black Ops II.url
[2012.11.28 20:20:19 | 000,000,222 | ---- | C] () -- C:\Users\admin\Desktop\Call of Duty Black Ops II - Zombies.url
[2012.11.28 20:20:19 | 000,000,222 | ---- | C] () -- C:\Users\admin\Desktop\Call of Duty Black Ops II - Multiplayer.url
[2012.11.19 00:45:10 | 003,536,817 | ---- | C] () -- C:\Windows\SysNative\nvcoproc.bin
[2012.09.06 20:38:07 | 003,130,440 | ---- | C] () -- C:\Windows\SysWow64\pbsvc_blr.exe
[2012.08.09 21:29:22 | 000,168,864 | ---- | C] () -- C:\Program Files\Common Files\WireHelpSvc.exe
[2012.08.09 19:48:06 | 000,298,016 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2012.08.09 19:48:03 | 000,076,888 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2012.02.13 20:19:42 | 333,858,503 | ---- | C] () -- C:\Users\admin\AppData\Roaming\.minecraft(normal).zip
[2012.02.13 20:19:32 | 000,000,022 | ---- | C] () -- C:\Users\admin\AppData\Roaming\WinRAR-ZIP-Archiv (neu).zip
[2012.01.24 21:37:20 | 000,033,134 | ---- | C] () -- C:\Users\admin\AppData\Roaming\UserTile.png
[2011.10.05 21:06:53 | 000,000,024 | ---- | C] () -- C:\Users\admin\lastlogin
[2011.10.05 21:06:43 | 000,000,108 | ---- | C] () -- C:\Users\admin\servers.dat
[2011.08.25 10:33:48 | 000,000,861 | ---- | C] () -- C:\Windows\eReg.dat
[2011.07.30 15:09:46 | 000,000,040 | ---- | C] () -- C:\ProgramData\ra3.ini
[2011.07.20 15:54:11 | 000,007,606 | ---- | C] () -- C:\Users\admin\AppData\Local\Resmon.ResmonCfg
[2011.07.13 21:55:01 | 000,013,931 | ---- | C] () -- C:\Windows\SysWow64\RaCoInst.dat
[2011.07.13 21:50:41 | 000,000,072 | ---- | C] () -- C:\Windows\SysWow64\RaCertMgr.ini
[2011.07.12 18:57:12 | 001,591,850 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2011.07.12 18:44:06 | 000,451,072 | ---- | C] () -- C:\Windows\SysWow64\ISSRemoveSP.exe
[2011.06.29 14:39:40 | 000,043,884 | ---- | C] () -- C:\Windows\Ascd_log.ini
[2011.06.29 14:38:43 | 000,001,769 | ---- | C] () -- C:\Windows\Language_trs.ini
[2011.06.29 14:38:42 | 000,029,609 | ---- | C] () -- C:\Windows\Ascd_tmp.ini

[color=#E56717]========== ZeroAccess Check ==========[/color]

[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

[color=#E56717]========== LOP Check ==========[/color]

[2012.12.15 19:10:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.minecraft
[2012.08.01 14:52:08 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.minecraft 1.2.5
[2012.06.16 17:50:04 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.Nitrous
[2012.07.30 21:59:09 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.platinum
[2012.08.12 01:10:59 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\.techniclauncher
[2012.05.01 17:57:28 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Awesomium
[2012.10.02 19:18:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Baalp
[2012.05.19 16:59:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Blockscape
[2011.08.21 16:53:47 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Command & Conquer 3 Tiberium Wars
[2012.10.01 18:13:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Dooqy
[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Efelu
[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ephico
[2012.06.17 17:07:56 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\FOG Downloader
[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Gexomo
[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ixtu
[2011.10.16 13:42:17 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\kompozer.net
[2012.08.07 01:36:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Kunoi
[2012.02.15 22:12:37 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Leadertech
[2012.09.30 13:16:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Liyzoh
[2011.09.30 23:45:04 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\LolClient
[2012.09.30 13:16:34 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Lufyp
[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Luizys
[2012.06.16 17:05:57 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\MinecraftRAR
[2012.06.16 17:07:31 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\MinecraftRAR2
[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Mofak
[2012.10.19 13:01:47 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Myxake
[2012.04.15 14:37:31 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Need for Speed World
[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Nigoum
[2011.08.17 00:20:12 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Origin
[2012.08.06 13:36:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ovolw
[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Payrhi
[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Qeeqaf
[2011.07.30 15:17:41 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Red Alert 3
[2012.03.11 22:02:03 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\RotMG.Production
[2012.12.17 22:57:58 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\SoftGrid Client
[2012.04.21 12:48:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TeamViewer
[2012.10.01 18:13:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Teux
[2011.07.12 18:57:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TP
[2012.12.18 16:51:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TS3Client
[2011.09.14 14:35:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\ts3overlay
[2012.08.07 01:36:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Tuma
[2011.12.24 23:25:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ubisoft
[2012.08.07 01:36:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Umezc
[2012.10.01 18:13:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Umvo
[2012.10.02 19:18:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Uqzuyv
[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Uraw
[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Utca
[2012.05.04 15:50:21 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\wargaming.net
[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Wedisa
[2012.08.06 13:36:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Wyupi
[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xoafc
[2012.10.02 19:18:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xyilaw
[2012.08.06 13:36:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Yforq
[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ykuhx
[2012.10.19 03:18:22 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ymvouk
[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ypkasu
[2012.08.04 00:21:52 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Yswyky
[2012.09.30 13:16:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ytehno

[color=#E56717]========== Purity Check ==========[/color]



< End of report >
Seitenanfang Seitenende
19.12.2012, 21:34
Swisstreasure
Moderator

Beiträge: 5694
#4 Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
PRC - [2012.06.14 16:20:22 | 000,109,064 | ---- | M] (Wajam) -- C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe
SRV - [2012.06.14 16:20:22 | 000,109,064 | ---- | M] (Wajam) [Auto | Running] -- C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe -- (WajamUpdater)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})
[2012.12.18 16:43:27 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012.12.16 23:58:45 | 000,001,045 | ---- | C] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2012.12.16 23:58:44 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012.12.16 23:58:43 | 000,175,104 | ---- | C] () -- C:\Users\admin\wgsdgsdgdsgsd.exe
[2012.12.16 23:58:45 | 000,001,045 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2012.12.16 23:58:43 | 000,175,104 | ---- | M] () -- C:\Users\admin\wgsdgsdgdsgsd.exe
[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Wedisa
[2012.08.06 13:36:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Wyupi
[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xoafc
[2012.10.02 19:18:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xyilaw
[2012.08.06 13:36:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Yforq
[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ykuhx
[2012.10.19 03:18:22 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ymvouk
[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ypkasu
[2012.08.04 00:21:52 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Yswyky
[2012.09.30 13:16:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ytehno
[2012.10.01 18:13:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Dooqy
[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Efelu
[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ephico
[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Gexomo
[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ixtu
[2012.08.07 01:36:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Kunoi
[2012.09.30 13:16:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Liyzoh
[2012.09.30 13:16:34 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Lufyp
[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Luizys
[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Mofak
[2012.10.19 13:01:47 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Myxake
[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Nigoum
[2011.08.17 00:20:12 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Origin
[2012.08.06 13:36:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ovolw
[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Payrhi
[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Qeeqaf
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

Schritt 2

Downloade Dir bitte Malwarebytes
• Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.
Seitenanfang Seitenende
22.12.2012, 14:47
Steeler
...neu hier

Themenstarter

Beiträge: 3
#5 Ausgabe vom Fix Button:

Code


All processes killed
Error: Unable to interpret <:OTLPRC - [2012.06.14 16:20:22 | 000,109,064 | ---- | M] (Wajam) -- C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exeSRV - [2012.06.14 16:20:22 | 000,109,064 | ---- | M] (Wajam) [Auto | Running] -- C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe -- (WajamUpdater)O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)O3 - HKCU\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})[2012.12.18 16:43:27 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad[2012.12.16 23:58:45 | 000,001,045 | ---- | C] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk[2012.12.16 23:58:44 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgds> in the current context!
Error: Unable to interpret <gdsgw.pad[2012.12.16 23:58:43 | 000,175,104 | ---- | C] () -- C:\Users\admin\wgsdgsdgdsgsd.exe[2012.12.16 23:58:45 | 000,001,045 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk[2012.12.16 23:58:43 | 000,175,104 | ---- | M] () -- C:\Users\admin\wgsdgsdgdsgsd.exe[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Wedisa[2012.08.06 13:36:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Wyupi[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xoafc[2012.10.02 19:18:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xyilaw[2012.08.06 13:36:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Yforq[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ykuhx[2012.10.19 03:18:22 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ymvouk[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ypkasu[2012.08.04 0> in the current context!
Error: Unable to interpret <0:21:52 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Yswyky[2012.09.30 13:16:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ytehno[2012.10.01 18:13:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Dooqy[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Efelu[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ephico[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Gexomo[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ixtu[2012.08.07 01:36:49 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Kunoi[2012.09.30 13:16:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Liyzoh[2012.09.30 13:16:34 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Lufyp[2012.09.30 21:16:45 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Luizys[2012.08.05 18:44:06 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Mofak> in the current context!
Error: Unable to interpret <[2012.10.19 13:01:47 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Myxake[2012.10.03 12:06:00 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Nigoum[2011.08.17 00:20:12 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Origin[2012.08.06 13:36:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Ovolw[2012.09.30 17:16:44 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Payrhi[2012.10.03 03:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Qeeqaf:Commands[purity][emptytemp][start explorer][Reboot]> in the current context!
 
OTL by OldTimer - Version 3.2.69.0 log created on 12222012_143122

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


Und von Malwarebytes:

Code


Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.22.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
admin :: ADMIN-PC [Administrator]

Schutz: Aktiviert

22.12.2012 14:41:31
mbam-log-2012-12-22 (14-41-31).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 233755
Laufzeit: 5 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 13
C:\Users\admin\AppData\Roaming\Dooqy\zaxov.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Gexomo\iras.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Lufyp\pamaf.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Nigoum\imvy.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Qeeqaf\sayvf.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Tuma\vyne.exe (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Uqzuyv\woen.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Uraw\omziv.exe (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Utca\hatep.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Wyupi\cyir.exe (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\wgsdgsdgdsgsd.exe (Trojan.Reveton) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Seitenanfang Seitenende
26.12.2012, 12:52
Swisstreasure
Moderator

Beiträge: 5694
#6 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1