Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.11.2012, 17:14   #1
Ikaron
 
Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Soo, ich hab mich hier jetzt schon ne Stunde durch's Forum gewühlt, allerdings wollte ich dann auch nicht zuu viel alleine probieren, da die Tools die da beschrieben werden ja weit in's System eindringen, und ich da dann gerne vorher die Zustimmung einer Person hätte, die sich mit sowas auskennt.
Erstmal zum Problem: Seit ein paar Tagen tauchen ein paar sehr komische Fehler etc. auf, es kann sein, dass ich in der Zeit aus Versehen Malware installiert habe, ich meine mich zu erinnern, dass irgendeine ausführbare Datei nicht funktioniert hat, kann sein, dass da ein Zusammenhang besteht.
Zu diesen komischen Fehlern zählen z.B: Lange Freezes von Firefox nach abgeschlossenen Downloads, zufälliges Verschwinden mancher Dateien, komisches Netzwerklog: Die ganze Zeit wird ein Paket von meinem PC zu der IP 91.34.214.218 verschickt und nach einer Antwort ein Neues (Ähnliches bei der IP 208.65.154.31). Dateien lassen sich nicht löschen, es wird angegeben, dass der Pfad aufgrund mangelnder Rechte nicht gefunden wird, allerdings steht da: Sie benötigen Berechtigung von "den Administator des Computers", um ... Auch mit Anführungszeichen und Rechtschreibfehler. Vermutung: MBR-Rootkit?
Schädliche Prozesse lassen sich nicht finden, Avast und Malwarebytes finden nix..

Zum System: Windows 7 Home Premium (x64)
Intel Core i7-2600
NVidia GeForce GTX 460
8GB RAM

Solltet ihr weitere Informationen benötigen, werdet ihr sie natürlich bekommen.
Vielen Dank für eure Zeit im Voraus!

Zusatz: Ich hatte vor ein paar Wochen den Relevant Knowledge-Virus, den mein avast! im "Boot-Mode" restlos entfernt hat. Jetzt grade zeigt mir Malwarebytes allerdings einen RegistryKey davon an, desweiteren einen MarketScore-Virus, das Log ist hier:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.16.07

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Ikaron :: IKARON-PC [Administrator]

16.11.2012 16:58:21
mbam-log-2012-11-16 (17-24-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 716013
Laufzeit: 24 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (PUP.Adware.RelevantKnowledge) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\Program Files (x86)\RelevantKnowledge (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.

Infizierte Dateien: 5
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge\About RelevantKnowledge.lnk (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge\Member of GRID -  Goodware Repository Information Database.lnk (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge\Support.lnk (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge\Uninstall Instructions.lnk (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt.

(Ende)
         
Zusatz 2: Malware wurde mit Malwarebytes entfernt, Dienst gelöscht, usw.. Aber: Origin lässt sich immer noch nicht starten (Mangelnde Rechte) und löscht sich nach Aufrufversuch selber. Lösungsmöglichkeiten?

Zusatz 3: TDSSKiller zeigt mir 2 verdächtige Objekte an: Eine .dll mit kryptischen Namen von Akamai (angeblich) sowie der Patcher von Tribes Ascend, die Akamai-dll hab ich löschen lassen.

Zusatz 4: Auf einmal dauert das Hochfahren sehr lange, ich kriege eine Meldung, dass ein ActiveX-Steuerelement nicht aktiviert wurde und er fragt mich, ob ich eine Datei mit kryptischem Namen ausführen will, die sich selbst als von Kaspersky ausgibt! Bräuchte dringend mal Hilfe!

Geändert von Ikaron (16.11.2012 um 17:26 Uhr)

Alt 19.11.2012, 07:59   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Hi,

Bitte poste das Log von TDSSKiller. Zudem das:


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
__________________

__________________

Alt 19.11.2012, 20:48   #3
Ikaron
 
Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Vielen Dank, dass Du dich meines Falles annimmst
Also erstmal wollte aswMBR nix runterladen, aber das könnte daran liegen, dass ich eh avast! benutze^^
Logs sind im Anhang (+MBR.dat)
__________________

Alt 20.11.2012, 07:10   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Hi,

Logs bitte nicht anhängen sondern in den Thread posten.


Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 20.11.2012, 22:29   #5
Ikaron
 
Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Okey, hier das Log von Combofix: (Diesmal sogar im Thread )
Desweiteren hat das Problem neue Ausmaße erreicht: Alles funktioniert perfekt, bis auf Origin.exe (Der Client von EA). Was auch immer ich versuche, Verzeichnis ist egal, mir wird angezeigt, dass ich Berechtigung von "den Administrator des Computers" brauche, danach, dass ich nicht drauf zugreifen kann (Diesmal offizielle Windows-Meldung) aufgrund mangelnder Rechte oder nichtexistenz des Verzeichnisses/der Datei, danach löscht sie sich von selbst, auch wenn alle Antivirenprogramme aus sind, usw.. Und ja, es ist das offizielle Origin (2 mal Link überprüft, war der offizielle Installer, dann nochmal von Kumpel geschickt bekommen).
Code:
ATTFilter
ComboFix 12-11-20.02 - Ikaron 20.11.2012  22:21:30.1.8 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.8169.5571 [GMT 1:00]
ausgeführt von:: c:\users\Ikaron\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\lol
c:\program files (x86)\lol\League of Legends\0x0407.ini
c:\program files (x86)\lol\League of Legends\0x0409.ini
c:\program files (x86)\lol\League of Legends\0x040a.ini
c:\program files (x86)\lol\League of Legends\0x040c.ini
c:\program files (x86)\lol\League of Legends\data1.cab
c:\program files (x86)\lol\League of Legends\data1.hdr
c:\program files (x86)\lol\League of Legends\data2.cab
c:\program files (x86)\lol\League of Legends\ISSetup.dll
c:\program files (x86)\lol\League of Legends\layout.bin
c:\program files (x86)\lol\League of Legends\setup.exe
c:\program files (x86)\lol\League of Legends\setup.ini
c:\program files (x86)\lol\League of Legends\setup.inx
c:\program files (x86)\lol\League of Legends\setup.isn
c:\windows\SysWow64\DEBUG.log
c:\windows\SysWow64\Dump
c:\windows\SysWow64\Dump\MiniDump.dmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-10-20 bis 2012-11-20  ))))))))))))))))))))))))))))))
.
.
2012-11-20 21:25 . 2012-11-20 21:25	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-11-20 20:49 . 2012-11-20 20:49	76232	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{24D3E88D-5F79-4284-B447-754C4DA67B86}\offreg.dll
2012-11-20 14:58 . 2012-11-08 17:24	9125352	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{24D3E88D-5F79-4284-B447-754C4DA67B86}\mpengine.dll
2012-11-20 14:55 . 2012-11-20 14:55	--------	d-----w-	c:\users\TEMP
2012-11-17 21:46 . 2012-11-17 21:46	--------	d-----w-	c:\program files (x86)\LogMeIn Hamachi
2012-11-17 14:22 . 2012-11-20 21:16	--------	d-----w-	c:\program files (x86)\Origin
2012-11-16 22:13 . 2012-11-16 22:13	--------	d-----w-	C:\TDSSKiller_Quarantine
2012-11-16 15:57 . 2012-11-16 15:57	--------	d-----w-	c:\users\Ikaron\AppData\Roaming\Malwarebytes
2012-11-16 15:57 . 2012-11-17 16:33	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-11-16 15:57 . 2012-11-16 15:57	--------	d-----w-	c:\programdata\Malwarebytes
2012-11-14 23:29 . 2012-07-26 07:46	2560	----a-w-	c:\windows\system32\drivers\de-DE\wdf01000.sys.mui
2012-11-14 23:29 . 2012-07-26 04:55	785512	----a-w-	c:\windows\system32\drivers\Wdf01000.sys
2012-11-14 23:29 . 2012-07-26 04:55	54376	----a-w-	c:\windows\system32\drivers\WdfLdr.sys
2012-11-14 23:29 . 2012-07-26 02:36	9728	----a-w-	c:\windows\system32\Wdfres.dll
2012-11-14 19:44 . 2012-10-18 18:18	3147264	----a-w-	c:\windows\system32\win32k.sys
2012-11-14 19:44 . 2012-09-25 22:39	95744	----a-w-	c:\windows\system32\synceng.dll
2012-11-14 19:44 . 2012-09-25 21:55	78336	----a-w-	c:\windows\SysWow64\synceng.dll
2012-11-11 01:43 . 2012-04-18 17:08	31040	----a-w-	c:\windows\system32\nvhdap64.dll
2012-11-11 01:43 . 2012-04-18 17:08	188736	----a-w-	c:\windows\system32\drivers\nvhda64v.sys
2012-11-11 01:43 . 2012-05-15 12:55	398656	----a-w-	c:\windows\system32\drivers\nvstusb.sys
2012-11-08 17:45 . 2012-11-08 17:45	--------	d-----w-	c:\program files (x86)\DigitalEden
2012-11-07 16:38 . 2012-11-07 16:38	--------	d-----w-	c:\program files (x86)\Renesas Electronics
2012-11-06 21:44 . 2010-06-02 12:23	2719064	----a-w-	c:\windows\SysWow64\d3d9d.dll
2012-11-06 21:43 . 2010-05-26 10:41	511328	----a-w-	c:\windows\system32\d3dx10_43.dll
2012-11-06 21:42 . 2012-11-06 21:44	--------	d-----w-	c:\program files (x86)\Microsoft DirectX SDK (June 2010)
2012-11-06 20:39 . 2010-02-04 09:01	74072	----a-w-	c:\windows\SysWow64\XAPOFX1_4.dll
2012-11-06 20:39 . 2010-02-04 09:01	528216	----a-w-	c:\windows\SysWow64\XAudio2_6.dll
2012-11-06 20:39 . 2010-02-04 09:01	238936	----a-w-	c:\windows\SysWow64\xactengine3_6.dll
2012-11-06 20:39 . 2010-02-04 09:01	22360	----a-w-	c:\windows\SysWow64\X3DAudio1_7.dll
2012-11-06 20:39 . 2009-03-09 14:27	4178264	----a-w-	c:\windows\SysWow64\D3DX9_41.dll
2012-11-06 17:42 . 2012-10-24 17:49	96224	----a-w-	c:\program files (x86)\Mozilla Firefox\webapprt-stub.exe
2012-11-06 17:42 . 2012-10-24 17:49	157272	----a-w-	c:\program files (x86)\Mozilla Firefox\webapp-uninstaller.exe
2012-11-06 15:16 . 2012-11-06 15:16	--------	d-----w-	c:\program files (x86)\Aurora
2012-11-05 20:10 . 2012-11-05 20:21	--------	d-----w-	C:\msys
2012-11-05 20:07 . 2012-11-05 20:20	--------	d-----w-	C:\MinGW
2012-11-05 19:48 . 2012-11-05 19:49	--------	d-----w-	c:\users\Ikaron\AppData\Local\Eclipse
2012-11-05 18:18 . 2012-11-05 18:36	--------	d-----w-	c:\users\Ikaron\AppData\Local\Microsoft Help
2012-11-05 18:18 . 2012-11-06 22:05	--------	d-----w-	c:\programdata\Microsoft Help
2012-11-05 18:18 . 2012-11-05 18:18	--------	d-----w-	c:\program files (x86)\Microsoft Visual Studio 9.0
2012-11-05 18:18 . 2012-11-05 18:18	--------	d-----w-	c:\program files (x86)\Common Files\Merge Modules
2012-11-05 18:18 . 2012-11-05 18:18	--------	d-----w-	c:\program files\Microsoft SDKs
2012-11-05 18:17 . 2012-11-05 18:17	--------	d-----w-	c:\program files\Microsoft Visual Studio 9.0
2012-11-05 17:54 . 2012-11-05 17:55	--------	d-----w-	c:\programdata\Dev-Cpp
2012-11-05 17:54 . 2012-11-05 17:54	--------	d-----w-	c:\programdata\TDM-GCC
2012-11-05 17:54 . 2012-11-05 18:11	--------	d-----w-	c:\program files (x86)\Dev-Cpp
2012-11-05 15:27 . 2012-11-05 18:06	--------	d-----w-	C:\Projects
2012-11-05 14:22 . 2012-11-05 18:15	--------	d-----w-	c:\users\Ikaron\AppData\Roaming\Dev-Cpp
2012-11-05 14:22 . 2012-11-05 18:16	--------	d-----w-	C:\Dev-Cpp
2012-11-05 13:33 . 2012-11-05 13:33	376400	----a-w-	c:\windows\system32\drivers\acedrv11.sys
2012-11-05 13:33 . 2012-11-05 13:33	--------	d-----w-	c:\program files (x86)\ProtectDisc Driver Installer
2012-11-05 13:33 . 2012-11-05 13:33	--------	d-----w-	c:\users\Ikaron\AppData\Roaming\ProtectDisc
2012-11-05 13:20 . 2012-11-05 13:28	--------	d-----w-	c:\program files (x86)\Windchaser
2012-11-03 12:44 . 2012-11-03 12:46	--------	d-----w-	c:\program files (x86)\GUMB911.tmp
2012-10-30 21:49 . 2012-10-30 21:49	--------	d-----w-	c:\users\Ikaron\AppData\Local\ESN Sonar
2012-10-29 22:57 . 2008-07-31 09:41	68616	----a-w-	c:\windows\SysWow64\XAPOFX1_1.dll
2012-10-29 22:57 . 2008-07-31 09:40	509448	----a-w-	c:\windows\SysWow64\XAudio2_2.dll
2012-10-29 22:57 . 2008-07-12 07:18	467984	----a-w-	c:\windows\SysWow64\d3dx10_39.dll
2012-10-29 22:57 . 2008-07-12 07:18	3851784	----a-w-	c:\windows\SysWow64\D3DX9_39.dll
2012-10-29 22:57 . 2008-07-12 07:18	1493528	----a-w-	c:\windows\SysWow64\D3DCompiler_39.dll
2012-10-29 22:56 . 2012-10-29 22:56	--------	d-----w-	c:\program files (x86)\League of Legends
2012-10-29 22:22 . 2012-11-03 00:20	--------	d-----w-	c:\users\Ikaron\AppData\Local\PMB Files
2012-10-29 22:22 . 2012-10-30 00:27	--------	d-----w-	c:\programdata\PMB Files
2012-10-29 22:22 . 2012-10-29 22:22	--------	d-----w-	c:\program files (x86)\Pando Networks
2012-10-29 12:17 . 2012-10-29 12:17	--------	d-----w-	c:\users\Ikaron\AppData\Roaming\.terasology
2012-10-22 17:42 . 2012-10-23 14:16	--------	d-----w-	C:\Test
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-11 20:49 . 2012-07-08 20:42	281520	----a-w-	c:\windows\SysWow64\PnkBstrB.xtr
2012-11-11 20:49 . 2012-07-08 20:38	281520	----a-w-	c:\windows\SysWow64\PnkBstrB.exe
2012-11-11 20:49 . 2012-07-08 20:38	280904	----a-w-	c:\windows\SysWow64\PnkBstrB.ex0
2012-11-11 20:13 . 2012-07-08 20:38	280904	----a-w-	c:\windows\SysWow64\PnkBstrB.ex2
2012-10-30 22:51 . 2012-07-05 07:13	59728	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-10-30 22:51 . 2012-07-29 11:23	262656	----a-w-	c:\windows\system32\drivers\aswNdis2.sys
2012-10-30 22:51 . 2012-07-29 11:23	21136	----a-w-	c:\windows\system32\drivers\aswKbd.sys
2012-10-30 22:51 . 2012-07-05 07:13	984144	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-10-30 22:51 . 2012-07-05 07:13	71600	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-10-30 22:51 . 2012-07-05 07:13	370288	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-10-30 22:51 . 2012-07-29 11:23	132864	----a-w-	c:\windows\system32\drivers\aswFW.sys
2012-10-30 22:51 . 2012-07-05 07:13	25232	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-10-30 22:51 . 2012-07-05 07:12	41224	----a-w-	c:\windows\avastSS.scr
2012-10-30 22:50 . 2012-07-05 07:12	227648	----a-w-	c:\windows\SysWow64\aswBoot.exe
2012-10-30 22:50 . 2012-07-05 07:13	285328	----a-w-	c:\windows\system32\aswBoot.exe
2012-10-27 22:15 . 2012-07-05 12:54	73656	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-10-27 22:15 . 2012-07-05 12:54	696760	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-18 15:51 . 2012-10-18 15:51	289768	----a-w-	c:\windows\system32\javaws.exe
2012-10-18 15:51 . 2012-10-18 15:51	189416	----a-w-	c:\windows\system32\javaw.exe
2012-10-18 15:51 . 2012-10-18 15:51	188904	----a-w-	c:\windows\system32\java.exe
2012-10-18 15:51 . 2012-10-18 15:51	108008	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
2012-10-18 15:51 . 2012-07-05 12:53	916456	----a-w-	c:\windows\system32\deployJava1.dll
2012-10-18 15:51 . 2012-07-05 12:53	1034216	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-10-17 11:41 . 2012-07-05 11:50	18960	----a-w-	c:\windows\system32\drivers\LNonPnP.sys
2012-10-15 16:59 . 2012-07-05 07:13	54072	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-10-14 00:58 . 2012-07-08 20:38	76888	----a-w-	c:\windows\SysWow64\PnkBstrA.exe
2012-10-14 00:58 . 2012-10-14 00:58	2434856	----a-w-	c:\windows\SysWow64\pbsvc_bc2.exe
2012-10-02 22:21 . 2012-07-05 07:09	2731880	----a-w-	c:\windows\system32\nvapi64.dll
2012-10-02 22:21 . 2012-07-05 07:09	2428776	----a-w-	c:\windows\SysWow64\nvapi.dll
2012-10-02 22:21 . 2012-07-05 07:09	15309160	----a-w-	c:\windows\SysWow64\nvd3dum.dll
2012-10-02 22:21 . 2012-07-05 07:09	12501352	----a-w-	c:\windows\SysWow64\nvwgf2um.dll
2012-10-02 22:21 . 2012-02-09 20:43	973672	----a-w-	c:\windows\system32\nvumdshimx.dll
2012-10-02 22:21 . 2012-02-09 20:43	1760104	----a-w-	c:\windows\system32\nvdispco64.dll
2012-10-02 22:21 . 2012-02-09 20:43	14922600	----a-w-	c:\windows\system32\nvwgf2umx.dll
2012-10-02 19:51 . 2012-07-09 13:32	3536817	----a-w-	c:\windows\system32\nvcoproc.bin
2012-10-02 19:51 . 2012-07-05 07:09	3293544	----a-w-	c:\windows\system32\nvsvc64.dll
2012-10-02 19:51 . 2012-07-05 07:09	6200680	----a-w-	c:\windows\system32\nvcpl.dll
2012-10-02 19:50 . 2012-07-05 07:09	891240	----a-w-	c:\windows\system32\nvvsvc.exe
2012-10-02 19:50 . 2012-07-05 07:09	63336	----a-w-	c:\windows\system32\nvshext.dll
2012-10-02 19:50 . 2012-07-05 07:09	2557800	----a-w-	c:\windows\system32\nvsvcr.dll
2012-10-02 19:50 . 2012-07-05 07:09	118120	----a-w-	c:\windows\system32\nvmctray.dll
2012-10-02 12:15 . 2012-10-02 12:15	430952	----a-w-	c:\windows\SysWow64\nvStreaming.exe
2012-09-22 19:51 . 2012-09-22 19:51	796672	----a-w-	c:\windows\GPInstall.exe
2012-09-14 19:23 . 2012-10-10 18:16	2048	----a-w-	c:\windows\system32\tzres.dll
2012-09-14 18:30 . 2012-10-10 18:16	2048	----a-w-	c:\windows\SysWow64\tzres.dll
2012-09-12 17:49 . 2012-09-12 17:49	8281168	----a-w-	c:\programdata\Microsoft\BingBar\BBSvc\7.1.391.0oemBingBarSetup-Partner.EXE
2012-09-02 17:20 . 2012-09-02 17:20	95208	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-09-02 17:20 . 2012-08-16 11:28	821736	----a-w-	c:\windows\SysWow64\npDeployJava1.dll
2012-09-02 17:20 . 2012-08-16 11:28	746984	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-08-31 18:02 . 2012-10-10 18:16	1656688	----a-w-	c:\windows\system32\drivers\ntfs.sys
2012-08-30 18:11 . 2012-10-10 18:16	5505904	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-08-30 17:18 . 2012-10-10 18:16	3958128	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2012-08-30 17:18 . 2012-10-10 18:16	3902832	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2012-08-30 13:18 . 2012-08-30 13:18	71680	----a-w-	c:\windows\system32\frapsv64.dll
2012-08-30 13:18 . 2012-08-30 13:18	65536	----a-w-	c:\windows\SysWow64\frapsvid.dll
2012-08-24 18:05 . 2012-10-10 18:16	220160	----a-w-	c:\windows\system32\wintrust.dll
2012-08-24 17:10 . 2012-10-10 18:16	172544	----a-w-	c:\windows\SysWow64\wintrust.dll
2006-05-03 10:06	163328	--sha-r-	c:\windows\SysWOW64\flvDX.dll
2007-02-21 11:47	31232	--sha-r-	c:\windows\SysWOW64\msfDX.dll
2008-03-16 13:30	216064	--sha-r-	c:\windows\SysWOW64\nbDX.dll
2010-01-06 22:00	107520	--sha-r-	c:\windows\SysWOW64\TAKDSDecoder.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Vid"="c:\program files (x86)\Logitech\Logitech Vid\vid.exe" [2009-07-16 5458704]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-07-13 17418928]
"Steam"="c:\program files (x86)\Steam\steam.exe" [2012-08-04 1353080]
"Akamai NetSession Interface"="c:\users\Ikaron\AppData\Local\Akamai\netsession_win.exe" [2012-10-09 4441920]
"Sizer"="c:\program files (x86)\Sizer\sizer.exe" [2011-01-22 23040]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-09-09 421776]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-11-17 113288]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-11-15 2254768]
.
c:\users\Ikaron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Ikaron\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-7-3 26868192]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
R0 mv91xx;mv91xx;c:\windows\system32\DRIVERS\mv91xx.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-07 160944]
R3 LVPr2M64;Logitech LVPr2M64 Driver;c:\windows\system32\DRIVERS\LVPr2M64.sys [2009-10-06 30232]
R3 LVRS64;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs64.sys [2009-10-07 327704]
R3 LVUVC64;Logitech QuickCam S5500(UVC);c:\windows\system32\DRIVERS\lvuvc64.sys [2009-10-07 6379288]
R3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;c:\windows\system32\DRIVERS\silabenm.sys [2011-10-14 27336]
R3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;c:\windows\system32\DRIVERS\silabser.sys [2011-10-14 71168]
R3 X6va011;X6va011;c:\windows\SysWOW64\Drivers\X6va011 [x]
R4 BBSvc;BingBar Service;c:\program files (x86)\Microsoft\BingBar\7.1.391.0\BBSvc.exe [2012-06-11 193616]
R4 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\7.1.391.0\SeaPort.exe [2012-06-11 240208]
R4 HiPatchService;Hi-Rez Studios Authenticate and Update Service;c:\program files (x86)\Hi-Rez Studios\HiPatchService.exe [2012-08-15 8704]
R4 LVPrcS64;Process Monitor;c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe [2009-10-06 191000]
S0 aswNdis;avast! Firewall NDIS Filter Service;c:\windows\system32\DRIVERS\aswNdis.sys [2012-06-27 12368]
S0 aswNdis2;avast! Firewall Core Firewall Service; [x]
S1 aswFW;avast! TDI Firewall driver; [x]
S1 aswKbd;aswKbd; [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2012-11-05 376400]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-10-30 71600]
S2 avast! Firewall;avast! Firewall;c:\program files\AVAST Software\Avast\afwServ.exe [2012-10-30 133912]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-11-15 2461104]
S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2010-06-25 35344]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2012-10-02 382824]
S2 TeamViewer7;TeamViewer 7;c:\program files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2012-07-10 2673064]
S3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys [2010-12-08 122856]
S3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys [2010-12-08 369640]
S3 NvStUSB;NVIDIA Stereoscopic 3D USB driver;c:\windows\system32\DRIVERS\nvstusb.sys [2012-05-15 398656]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-12-28 412776]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
Inhalt des "geplante Tasks" Ordners
.
2012-11-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-05 22:15]
.
2012-11-20 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3977161494-1372682262-735675707-1000Core.job
- c:\users\Ikaron\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-18 15:27]
.
2012-11-20 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3977161494-1372682262-735675707-1000UA.job
- c:\users\Ikaron\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-18 15:27]
.
2012-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 12:44]
.
2012-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 12:44]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50	133400	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	97792	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	97792	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	97792	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	97792	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2011-10-07 1744152]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>;*.local
IE: Free YouTube to MP3 Converter - c:\users\Ikaron\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
FF - ProfilePath - c:\users\Ikaron\AppData\Roaming\Mozilla\Firefox\Profiles\n8xigybo.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.http - www-proxy.t-online.de
FF - prefs.js: network.proxy.http_port - 80
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: 2012-10-28 00:19; testpilot@labs.mozilla.com; c:\users\Ikaron\AppData\Roaming\Mozilla\Firefox\Profiles\n8xigybo.default\extensions\testpilot@labs.mozilla.com.xpi
FF - ExtSQL: 2012-11-11 16:48; info@maltegoetz.de; c:\users\Ikaron\AppData\Roaming\Mozilla\Firefox\Profiles\n8xigybo.default\extensions\info@maltegoetz.de.xpi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-38214858.sys
AddRemove-Battlelog Web Plugins - c:\program files (x86)\Battlelog Web Plugins\uninstall.exe
AddRemove-ESN Sonar-0.70.4 - c:\program files (x86)\Battlelog Web Plugins\Sonar\esnsonar_uninstall.exe
AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc_bc2.exe
AddRemove-SLABCOMM&10C4&EA60 - c:\program files (x86)\Silabs\MCU\CP210x\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60
AddRemove-TDM-GCC - c:\program files (x86)\Dev-Cpp\MinGW32\__installer\tdm-gcc4.6.1
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va011]
"ImagePath"="\??\c:\windows\SysWOW64\Drivers\X6va011"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-11-20  22:26:35
ComboFix-quarantined-files.txt  2012-11-20 21:26
.
Vor Suchlauf: 22 Verzeichnis(se), 51.501.703.168 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 53.723.840.512 Bytes frei
.
- - End Of File - - 03E3D53EE2121A345B42CDB26E019D30
         


Geändert von Ikaron (20.11.2012 um 22:34 Uhr)

Alt 21.11.2012, 07:15   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Hi,

Combofix-Skript
WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
  • Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
  • Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
    Code:
    ATTFilter
    Rootkit::
    c:\windows\SysWOW64\Drivers\X6va011
             
  • Speichere dies als CFScript.txt auf deinem Desktop.
  • Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
    Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

__________________
--> Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?

Alt 21.11.2012, 13:37   #7
Ikaron
 
Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Okey, werd ich gleich mal machen und die Ergebnisse hier rein editieren.. Heißt die ComboFix-Anweisung jetzt, dass ich mir ein Rootkit mit Namen "X6va011" eingefangen habe? Haben sie da Informationen, woher man so etwas bekommen kann bzw. durch welche Installation es vorkommt? Ich habe gehört, dass es anscheinend bei S4League dabei ist, was ich auch ab und an spiele, aber ich kann drauf verzichten. Danke für den Support (:

€dit: Hier ist das Log
Code:
ATTFilter
ComboFix 12-11-21.01 - Ikaron 21.11.2012  13:38:44.2.8 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.8169.6073 [GMT 1:00]
ausgeführt von:: c:\users\Ikaron\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Ikaron\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_X6va011
-------\Service_X6va011
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-10-21 bis 2012-11-21  ))))))))))))))))))))))))))))))
.
.
2012-11-21 12:42 . 2012-11-21 12:42	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-11-20 14:58 . 2012-11-08 17:24	9125352	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{24D3E88D-5F79-4284-B447-754C4DA67B86}\mpengine.dll
2012-11-17 21:46 . 2012-11-17 21:46	--------	d-----w-	c:\program files (x86)\LogMeIn Hamachi
2012-11-17 14:22 . 2012-11-20 21:16	--------	d-----w-	c:\program files (x86)\Origin
2012-11-16 22:13 . 2012-11-16 22:13	--------	d-----w-	C:\TDSSKiller_Quarantine
2012-11-16 15:57 . 2012-11-16 15:57	--------	d-----w-	c:\users\Ikaron\AppData\Roaming\Malwarebytes
2012-11-16 15:57 . 2012-11-17 16:33	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-11-16 15:57 . 2012-11-16 15:57	--------	d-----w-	c:\programdata\Malwarebytes
2012-11-14 23:29 . 2012-07-26 07:46	2560	----a-w-	c:\windows\system32\drivers\de-DE\wdf01000.sys.mui
2012-11-14 23:29 . 2012-07-26 04:55	785512	----a-w-	c:\windows\system32\drivers\Wdf01000.sys
2012-11-14 23:29 . 2012-07-26 04:55	54376	----a-w-	c:\windows\system32\drivers\WdfLdr.sys
2012-11-14 23:29 . 2012-07-26 02:36	9728	----a-w-	c:\windows\system32\Wdfres.dll
2012-11-14 19:44 . 2012-10-18 18:18	3147264	----a-w-	c:\windows\system32\win32k.sys
2012-11-14 19:44 . 2012-09-25 22:39	95744	----a-w-	c:\windows\system32\synceng.dll
2012-11-14 19:44 . 2012-09-25 21:55	78336	----a-w-	c:\windows\SysWow64\synceng.dll
2012-11-11 01:43 . 2012-04-18 17:08	31040	----a-w-	c:\windows\system32\nvhdap64.dll
2012-11-11 01:43 . 2012-04-18 17:08	188736	----a-w-	c:\windows\system32\drivers\nvhda64v.sys
2012-11-11 01:43 . 2012-05-15 12:55	398656	----a-w-	c:\windows\system32\drivers\nvstusb.sys
2012-11-08 17:45 . 2012-11-08 17:45	--------	d-----w-	c:\program files (x86)\DigitalEden
2012-11-07 16:38 . 2012-11-07 16:38	--------	d-----w-	c:\program files (x86)\Renesas Electronics
2012-11-07 14:35 . 2012-11-07 14:37	--------	d-----w-	c:\users\Ikaron\AppData\Roaming\Apple Computer
2012-11-07 14:35 . 2012-11-07 14:35	--------	d-----w-	c:\users\Ikaron\AppData\Local\Apple Computer
2012-11-07 14:35 . 2012-11-20 22:28	--------	dc----w-	c:\windows\system32\DRVSTORE
2012-11-07 14:35 . 2012-11-20 22:28	--------	d-----w-	c:\programdata\34BE82C4-E596-4e99-A191-52C6199EBF69
2012-11-07 14:35 . 2012-11-07 14:35	--------	d-----w-	c:\users\Ikaron\AppData\Local\Apple
2012-11-07 14:35 . 2012-11-07 14:35	--------	d-----w-	c:\program files (x86)\Apple Software Update
2012-11-07 14:35 . 2012-11-07 14:35	--------	d-----w-	c:\program files\Common Files\Apple
2012-11-07 14:35 . 2012-11-07 14:35	--------	d-----w-	c:\programdata\Apple
2012-11-06 21:43 . 2010-05-26 10:41	511328	----a-w-	c:\windows\system32\d3dx10_43.dll
2012-11-06 21:42 . 2012-11-06 21:44	--------	d-----w-	c:\program files (x86)\Microsoft DirectX SDK (June 2010)
2012-11-06 20:39 . 2010-02-04 09:01	74072	----a-w-	c:\windows\SysWow64\XAPOFX1_4.dll
2012-11-06 20:39 . 2010-02-04 09:01	528216	----a-w-	c:\windows\SysWow64\XAudio2_6.dll
2012-11-06 20:39 . 2010-02-04 09:01	238936	----a-w-	c:\windows\SysWow64\xactengine3_6.dll
2012-11-06 20:39 . 2010-02-04 09:01	22360	----a-w-	c:\windows\SysWow64\X3DAudio1_7.dll
2012-11-06 20:39 . 2009-03-09 14:27	4178264	----a-w-	c:\windows\SysWow64\D3DX9_41.dll
2012-11-06 17:42 . 2012-10-24 17:49	96224	----a-w-	c:\program files (x86)\Mozilla Firefox\webapprt-stub.exe
2012-11-06 17:42 . 2012-10-24 17:49	157272	----a-w-	c:\program files (x86)\Mozilla Firefox\webapp-uninstaller.exe
2012-11-06 15:16 . 2012-11-21 12:19	--------	d-----w-	c:\program files (x86)\Aurora
2012-11-05 20:10 . 2012-11-05 20:21	--------	d-----w-	C:\msys
2012-11-05 20:07 . 2012-11-05 20:20	--------	d-----w-	C:\MinGW
2012-11-05 19:48 . 2012-11-05 19:49	--------	d-----w-	c:\users\Ikaron\AppData\Local\Eclipse
2012-11-05 18:18 . 2012-11-05 18:36	--------	d-----w-	c:\users\Ikaron\AppData\Local\Microsoft Help
2012-11-05 18:18 . 2012-11-06 22:05	--------	d-----w-	c:\programdata\Microsoft Help
2012-11-05 18:18 . 2012-11-05 18:18	--------	d-----w-	c:\program files (x86)\Microsoft Visual Studio 9.0
2012-11-05 18:18 . 2012-11-05 18:18	--------	d-----w-	c:\program files (x86)\Common Files\Merge Modules
2012-11-05 18:18 . 2012-11-05 18:18	--------	d-----w-	c:\program files\Microsoft SDKs
2012-11-05 18:17 . 2012-11-05 18:17	--------	d-----w-	c:\program files\Microsoft Visual Studio 9.0
2012-11-05 17:54 . 2012-11-05 17:55	--------	d-----w-	c:\programdata\Dev-Cpp
2012-11-05 17:54 . 2012-11-05 17:54	--------	d-----w-	c:\programdata\TDM-GCC
2012-11-05 17:54 . 2012-11-05 18:11	--------	d-----w-	c:\program files (x86)\Dev-Cpp
2012-11-05 15:27 . 2012-11-05 18:06	--------	d-----w-	C:\Projects
2012-11-05 14:22 . 2012-11-05 18:15	--------	d-----w-	c:\users\Ikaron\AppData\Roaming\Dev-Cpp
2012-11-05 14:22 . 2012-11-05 18:16	--------	d-----w-	C:\Dev-Cpp
2012-11-05 13:33 . 2012-11-05 13:33	376400	----a-w-	c:\windows\system32\drivers\acedrv11.sys
2012-11-05 13:33 . 2012-11-05 13:33	--------	d-----w-	c:\program files (x86)\ProtectDisc Driver Installer
2012-11-05 13:33 . 2012-11-05 13:33	--------	d-----w-	c:\users\Ikaron\AppData\Roaming\ProtectDisc
2012-11-05 13:20 . 2012-11-05 13:28	--------	d-----w-	c:\program files (x86)\Windchaser
2012-11-03 12:44 . 2012-11-03 12:46	--------	d-----w-	c:\program files (x86)\GUMB911.tmp
2012-10-30 21:49 . 2012-10-30 21:49	--------	d-----w-	c:\users\Ikaron\AppData\Local\ESN Sonar
2012-10-29 22:57 . 2008-07-31 09:41	68616	----a-w-	c:\windows\SysWow64\XAPOFX1_1.dll
2012-10-29 22:57 . 2008-07-31 09:40	509448	----a-w-	c:\windows\SysWow64\XAudio2_2.dll
2012-10-29 22:57 . 2008-07-12 07:18	467984	----a-w-	c:\windows\SysWow64\d3dx10_39.dll
2012-10-29 22:57 . 2008-07-12 07:18	3851784	----a-w-	c:\windows\SysWow64\D3DX9_39.dll
2012-10-29 22:57 . 2008-07-12 07:18	1493528	----a-w-	c:\windows\SysWow64\D3DCompiler_39.dll
2012-10-29 22:56 . 2012-10-29 22:56	--------	d-----w-	c:\program files (x86)\League of Legends
2012-10-29 22:22 . 2012-11-20 22:12	--------	d-----w-	c:\users\Ikaron\AppData\Local\PMB Files
2012-10-29 22:22 . 2012-11-20 22:11	--------	d-----w-	c:\programdata\PMB Files
2012-10-29 22:22 . 2012-10-29 22:22	--------	d-----w-	c:\program files (x86)\Pando Networks
2012-10-29 12:17 . 2012-10-29 12:17	--------	d-----w-	c:\users\Ikaron\AppData\Roaming\.terasology
2012-10-22 17:42 . 2012-10-23 14:16	--------	d-----w-	C:\Test
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-11 20:49 . 2012-07-08 20:42	281520	----a-w-	c:\windows\SysWow64\PnkBstrB.xtr
2012-11-11 20:49 . 2012-07-08 20:38	281520	----a-w-	c:\windows\SysWow64\PnkBstrB.exe
2012-11-11 20:49 . 2012-07-08 20:38	280904	----a-w-	c:\windows\SysWow64\PnkBstrB.ex0
2012-11-11 20:13 . 2012-07-08 20:38	280904	----a-w-	c:\windows\SysWow64\PnkBstrB.ex2
2012-10-30 22:51 . 2012-07-05 07:13	59728	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-10-30 22:51 . 2012-07-29 11:23	262656	----a-w-	c:\windows\system32\drivers\aswNdis2.sys
2012-10-30 22:51 . 2012-07-29 11:23	21136	----a-w-	c:\windows\system32\drivers\aswKbd.sys
2012-10-30 22:51 . 2012-07-05 07:13	984144	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-10-30 22:51 . 2012-07-05 07:13	71600	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-10-30 22:51 . 2012-07-05 07:13	370288	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-10-30 22:51 . 2012-07-29 11:23	132864	----a-w-	c:\windows\system32\drivers\aswFW.sys
2012-10-30 22:51 . 2012-07-05 07:13	25232	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-10-30 22:51 . 2012-07-05 07:12	41224	----a-w-	c:\windows\avastSS.scr
2012-10-30 22:50 . 2012-07-05 07:12	227648	----a-w-	c:\windows\SysWow64\aswBoot.exe
2012-10-30 22:50 . 2012-07-05 07:13	285328	----a-w-	c:\windows\system32\aswBoot.exe
2012-10-27 22:15 . 2012-07-05 12:54	73656	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-10-27 22:15 . 2012-07-05 12:54	696760	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-18 15:51 . 2012-10-18 15:51	289768	----a-w-	c:\windows\system32\javaws.exe
2012-10-18 15:51 . 2012-10-18 15:51	189416	----a-w-	c:\windows\system32\javaw.exe
2012-10-18 15:51 . 2012-10-18 15:51	188904	----a-w-	c:\windows\system32\java.exe
2012-10-18 15:51 . 2012-10-18 15:51	108008	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
2012-10-18 15:51 . 2012-07-05 12:53	916456	----a-w-	c:\windows\system32\deployJava1.dll
2012-10-18 15:51 . 2012-07-05 12:53	1034216	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-10-17 11:41 . 2012-07-05 11:50	18960	----a-w-	c:\windows\system32\drivers\LNonPnP.sys
2012-10-15 16:59 . 2012-07-05 07:13	54072	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-10-14 00:58 . 2012-07-08 20:38	76888	----a-w-	c:\windows\SysWow64\PnkBstrA.exe
2012-10-14 00:58 . 2012-10-14 00:58	2434856	----a-w-	c:\windows\SysWow64\pbsvc_bc2.exe
2012-10-02 22:21 . 2012-07-05 07:09	2731880	----a-w-	c:\windows\system32\nvapi64.dll
2012-10-02 22:21 . 2012-07-05 07:09	2428776	----a-w-	c:\windows\SysWow64\nvapi.dll
2012-10-02 22:21 . 2012-07-05 07:09	15309160	----a-w-	c:\windows\SysWow64\nvd3dum.dll
2012-10-02 22:21 . 2012-07-05 07:09	12501352	----a-w-	c:\windows\SysWow64\nvwgf2um.dll
2012-10-02 22:21 . 2012-02-09 20:43	973672	----a-w-	c:\windows\system32\nvumdshimx.dll
2012-10-02 22:21 . 2012-02-09 20:43	1760104	----a-w-	c:\windows\system32\nvdispco64.dll
2012-10-02 22:21 . 2012-02-09 20:43	14922600	----a-w-	c:\windows\system32\nvwgf2umx.dll
2012-10-02 19:51 . 2012-07-09 13:32	3536817	----a-w-	c:\windows\system32\nvcoproc.bin
2012-10-02 19:51 . 2012-07-05 07:09	3293544	----a-w-	c:\windows\system32\nvsvc64.dll
2012-10-02 19:51 . 2012-07-05 07:09	6200680	----a-w-	c:\windows\system32\nvcpl.dll
2012-10-02 19:50 . 2012-07-05 07:09	891240	----a-w-	c:\windows\system32\nvvsvc.exe
2012-10-02 19:50 . 2012-07-05 07:09	63336	----a-w-	c:\windows\system32\nvshext.dll
2012-10-02 19:50 . 2012-07-05 07:09	2557800	----a-w-	c:\windows\system32\nvsvcr.dll
2012-10-02 19:50 . 2012-07-05 07:09	118120	----a-w-	c:\windows\system32\nvmctray.dll
2012-10-02 12:15 . 2012-10-02 12:15	430952	----a-w-	c:\windows\SysWow64\nvStreaming.exe
2012-09-22 19:51 . 2012-09-22 19:51	796672	----a-w-	c:\windows\GPInstall.exe
2012-09-14 19:23 . 2012-10-10 18:16	2048	----a-w-	c:\windows\system32\tzres.dll
2012-09-14 18:30 . 2012-10-10 18:16	2048	----a-w-	c:\windows\SysWow64\tzres.dll
2012-09-02 17:20 . 2012-09-02 17:20	95208	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-09-02 17:20 . 2012-08-16 11:28	821736	----a-w-	c:\windows\SysWow64\npDeployJava1.dll
2012-09-02 17:20 . 2012-08-16 11:28	746984	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-08-31 18:02 . 2012-10-10 18:16	1656688	----a-w-	c:\windows\system32\drivers\ntfs.sys
2012-08-30 18:11 . 2012-10-10 18:16	5505904	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-08-30 17:18 . 2012-10-10 18:16	3958128	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2012-08-30 17:18 . 2012-10-10 18:16	3902832	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2012-08-30 13:18 . 2012-08-30 13:18	71680	----a-w-	c:\windows\system32\frapsv64.dll
2012-08-30 13:18 . 2012-08-30 13:18	65536	----a-w-	c:\windows\SysWow64\frapsvid.dll
2012-08-24 18:05 . 2012-10-10 18:16	220160	----a-w-	c:\windows\system32\wintrust.dll
2012-08-24 17:10 . 2012-10-10 18:16	172544	----a-w-	c:\windows\SysWow64\wintrust.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Vid"="c:\program files (x86)\Logitech\Logitech Vid\vid.exe" [2009-07-16 5458704]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-07-13 17418928]
"Steam"="c:\program files (x86)\Steam\steam.exe" [2012-08-04 1353080]
"Akamai NetSession Interface"="c:\users\Ikaron\AppData\Local\Akamai\netsession_win.exe" [2012-10-09 4441920]
"Sizer"="c:\program files (x86)\Sizer\sizer.exe" [2011-01-22 23040]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-11-17 113288]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-11-15 2254768]
.
c:\users\Ikaron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Ikaron\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-7-3 26868192]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
R0 mv91xx;mv91xx;c:\windows\system32\DRIVERS\mv91xx.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 LVPr2M64;Logitech LVPr2M64 Driver;c:\windows\system32\DRIVERS\LVPr2M64.sys [2009-10-06 30232]
R3 LVRS64;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs64.sys [2009-10-07 327704]
R3 LVUVC64;Logitech QuickCam S5500(UVC);c:\windows\system32\DRIVERS\lvuvc64.sys [2009-10-07 6379288]
R3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;c:\windows\system32\DRIVERS\silabenm.sys [2011-10-14 27336]
R3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;c:\windows\system32\DRIVERS\silabser.sys [2011-10-14 71168]
R4 HiPatchService;Hi-Rez Studios Authenticate and Update Service;c:\program files (x86)\Hi-Rez Studios\HiPatchService.exe [2012-08-15 8704]
R4 LVPrcS64;Process Monitor;c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe [2009-10-06 191000]
S0 aswNdis;avast! Firewall NDIS Filter Service;c:\windows\system32\DRIVERS\aswNdis.sys [2012-06-27 12368]
S0 aswNdis2;avast! Firewall Core Firewall Service; [x]
S1 aswFW;avast! TDI Firewall driver; [x]
S1 aswKbd;aswKbd; [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2012-11-05 376400]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-10-30 71600]
S2 avast! Firewall;avast! Firewall;c:\program files\AVAST Software\Avast\afwServ.exe [2012-10-30 133912]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-11-15 2461104]
S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2010-06-25 35344]
S2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-07 160944]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2012-10-02 382824]
S2 TeamViewer7;TeamViewer 7;c:\program files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2012-07-10 2673064]
S3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys [2010-12-08 122856]
S3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys [2010-12-08 369640]
S3 NvStUSB;NVIDIA Stereoscopic 3D USB driver;c:\windows\system32\DRIVERS\nvstusb.sys [2012-05-15 398656]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-12-28 412776]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
Inhalt des "geplante Tasks" Ordners
.
2012-11-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-05 22:15]
.
2012-11-20 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3977161494-1372682262-735675707-1000Core.job
- c:\users\Ikaron\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-18 15:27]
.
2012-11-20 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3977161494-1372682262-735675707-1000UA.job
- c:\users\Ikaron\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-18 15:27]
.
2012-11-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 12:44]
.
2012-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 12:44]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50	133400	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	97792	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	97792	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	97792	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	97792	----a-w-	c:\users\Ikaron\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2011-10-07 1744152]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
IE: Free YouTube to MP3 Converter - c:\users\Ikaron\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
FF - ProfilePath - c:\users\Ikaron\AppData\Roaming\Mozilla\Firefox\Profiles\n8xigybo.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.http - www-proxy.t-online.de
FF - prefs.js: network.proxy.http_port - 80
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: 2012-10-28 00:19; testpilot@labs.mozilla.com; c:\users\Ikaron\AppData\Roaming\Mozilla\Firefox\Profiles\n8xigybo.default\extensions\testpilot@labs.mozilla.com.xpi
FF - ExtSQL: 2012-11-11 16:48; info@maltegoetz.de; c:\users\Ikaron\AppData\Roaming\Mozilla\Firefox\Profiles\n8xigybo.default\extensions\info@maltegoetz.de.xpi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc_bc2.exe
AddRemove-SLABCOMM&10C4&EA60 - c:\program files (x86)\Silabs\MCU\CP210x\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60
AddRemove-TDM-GCC - c:\program files (x86)\Dev-Cpp\MinGW32\__installer\tdm-gcc4.6.1
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\program files (x86)\Internet Explorer\IELowutil.exe
c:\program files (x86)\Common Files\Steam\SteamService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-11-21  13:44:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-11-21 12:44
ComboFix2.txt  2012-11-20 21:26
.
Vor Suchlauf: 26 Verzeichnis(se), 56.859.738.112 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 56.086.740.992 Bytes frei
.
- - End Of File - - 1370DB414AA7405F46C4EFF99C85C7AC
         

Geändert von Ikaron (21.11.2012 um 13:46 Uhr)

Alt 21.11.2012, 13:49   #8
schrauber
/// the machine
/// TB-Ausbilder
 

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Das war kein wirkliches Rootkit, aber es stört bei der Bereinigung. Wie verhält sich der Rechner?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 21.11.2012, 14:11   #9
Ikaron
 
Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Also, die Fehler um Origin.exe passieren nicht mehr, allerdings lässt es sich trotzdem nicht öffnen (Es startet sich kein neuer Prozess) Das Selbe war auch beim Logitech SetPoint II der Fall, bei der Installation davon ist der Windows explorer (Desktop) abgeschmiert, ließ sich aber neustarten, und dann ist auch das Installationsfenster aufgetaucht. Die meißten anderen Programme lassen sich noch ohne Probleme/Zeitverzögerung starten. SetPoint II zeig kein Control Panel an (Zumindest nicht nach 30 Sekunden). Sonst ist eigentlich alles normal..

CPU ist bei 0-1%
Arbeitsspeicher bei 2,55GB
Offene Programme: Firefox (4 Tabs), Skype, Setpoint I und II, avast!, etc.. Nix unnormales

Alt 21.11.2012, 14:56   #10
schrauber
/// the machine
/// TB-Ausbilder
 

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Alles von Logitech deinstallieren und neu installieren. Besser?



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 21.11.2012, 16:55   #11
Ikaron
 
Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Okey, also der ESET hat kein Log ausgespuckt, bzw. es war keine Option "List of found Files" vorhanden, desweiteren heiße es, dass keine Gefahren entdeckt wurden.

Alt 21.11.2012, 17:03   #12
schrauber
/// the machine
/// TB-Ausbilder
 

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Dann das mit Logitech machen und ein frisches OTL log posten
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 22.11.2012, 13:47   #13
Ikaron
 
Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Also, SetPoints hab ich reinstalliert, das funktioniert wieder. Origin will immer noch nicht (Startet keinen Prozess), und ich lass grad OTL durchlaufen. - Und genau, als ich es posten wollte, ist es fertig.

OTL.txt
Code:
ATTFilter
OTL logfile created on: 22.11.2012 13:42:11 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Ikaron\Desktop
64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
7,98 Gb Total Physical Memory | 5,44 Gb Available Physical Memory | 68,18% Memory free
15,95 Gb Paging File | 13,36 Gb Available in Paging File | 83,77% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 238,37 Gb Total Space | 49,79 Gb Free Space | 20,89% Space Free | Partition Type: NTFS
Drive D: | 1,88 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive E: | 100,00 Mb Total Space | 70,36 Mb Free Space | 70,36% Space Free | Partition Type: NTFS
Drive F: | 931,41 Gb Total Space | 541,84 Gb Free Space | 58,17% Space Free | Partition Type: NTFS
 
Computer Name: IKARON-PC | User Name: Ikaron | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 14 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Ikaron\Desktop\OTL(1).exe (OldTimer Tools)
PRC - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
PRC - C:\Programme\AVAST Software\Avast\AvastUI.exe (AVAST Software)
PRC - C:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
PRC - C:\Programme\AVAST Software\Avast\afwServ.exe (AVAST Software)
PRC - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe (Adobe Systems, Inc.)
PRC - C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
PRC - C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Windows\SysWOW64\PnkBstrA.exe ()
PRC - C:\Users\Ikaron\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.)
PRC - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\Steam\Steam.exe (Valve Corporation)
PRC - C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Users\Ikaron\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
PRC - C:\Program Files (x86)\Sizer\sizer.exe (Brian Apps Products)
PRC - C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
MOD - C:\Program Files (x86)\Steam\bin\libcef.dll ()
MOD - C:\Program Files (x86)\Steam\bin\avcodec-53.dll ()
MOD - C:\Program Files (x86)\Steam\bin\chromehtml.DLL ()
MOD - C:\Program Files (x86)\Steam\bin\avformat-53.dll ()
MOD - C:\Program Files (x86)\Steam\bin\avutil-51.dll ()
MOD - C:\Program Files (x86)\Mozilla Firefox\mozjs.dll ()
MOD - C:\Program Files (x86)\SplitMediaLabs\XSplit\swresample-0.dll ()
MOD - C:\Program Files (x86)\SplitMediaLabs\XSplit\avcodec-54.dll ()
MOD - C:\Program Files (x86)\SplitMediaLabs\XSplit\avformat-54.dll ()
MOD - C:\Program Files (x86)\SplitMediaLabs\XSplit\swscale-2.dll ()
MOD - C:\Program Files (x86)\SplitMediaLabs\XSplit\avutil-51.dll ()
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (msvsmon90) -- C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\Remote Debugger\x64\msvsmon.exe (Microsoft Corporation)
SRV - (Hamachi2Svc) -- C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (SkypeUpdate) -- C:\Program Files (x86)\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (MozillaMaintenance) -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (avast! Antivirus) -- C:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
SRV - (avast! Firewall) -- C:\Programme\AVAST Software\Avast\afwServ.exe (AVAST Software)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (nvUpdatusService) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (HiPatchService) -- C:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe (Hi-Rez Studios)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (TeamViewer7) -- C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (LBTServ) -- C:\Programme\Common Files\logishrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (rpcapd) -- C:\Program Files (x86)\WinPcap\rpcapd.exe (CACE Technologies, Inc.)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (PSI_SVC_2) -- C:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe (Protexis Inc.)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (acedrv11) -- C:\Windows\SysNative\drivers\acedrv11.sys (Protect Software GmbH)
DRV:64bit: - (aswTdi) -- C:\Windows\SysNative\drivers\aswTdi.sys (AVAST Software)
DRV:64bit: - (aswSnx) -- C:\Windows\SysNative\drivers\aswSnx.sys (AVAST Software)
DRV:64bit: - (aswSP) -- C:\Windows\SysNative\drivers\aswSP.sys (AVAST Software)
DRV:64bit: - (aswNdis2) -- C:\Windows\SysNative\drivers\aswNdis2.sys (AVAST Software)
DRV:64bit: - (aswMonFlt) -- C:\Windows\SysNative\drivers\aswMonFlt.sys (AVAST Software)
DRV:64bit: - (aswKbd) -- C:\Windows\SysNative\drivers\aswKbd.sys (AVAST Software)
DRV:64bit: - (aswFW) -- C:\Windows\SysNative\drivers\aswFW.sys (AVAST Software)
DRV:64bit: - (aswFsBlk) -- C:\Windows\SysNative\drivers\aswFsBlk.sys (AVAST Software)
DRV:64bit: - (aswRdr) -- C:\Windows\SysNative\drivers\aswRdr2.sys (AVAST Software)
DRV:64bit: - (aswNdis) -- C:\Windows\SysNative\drivers\aswNdis.sys (ALWIL Software)
DRV:64bit: - (NvStUSB) -- C:\Windows\SysNative\drivers\nvstusb.sys (NVIDIA Corporation)
DRV:64bit: - (NVHDA) -- C:\Windows\SysNative\drivers\nvhda64v.sys (NVIDIA Corporation)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (silabser) -- C:\Windows\SysNative\drivers\silabser.sys (Silicon Laboratories)
DRV:64bit: - (silabenm) -- C:\Windows\SysNative\drivers\silabenm.sys (Silicon Laboratories)
DRV:64bit: - (LMouFilt) -- C:\Windows\SysNative\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV:64bit: - (LHidFilt) -- C:\Windows\SysNative\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek                                            )
DRV:64bit: - (asmtxhci) -- C:\Windows\SysNative\drivers\asmtxhci.sys (ASMedia Technology Inc)
DRV:64bit: - (asmthub3) -- C:\Windows\SysNative\drivers\asmthub3.sys (ASMedia Technology Inc)
DRV:64bit: - (MEIx64) -- C:\Windows\SysNative\drivers\HECIx64.sys (Intel Corporation)
DRV:64bit: - (NPF) -- C:\Windows\SysNative\drivers\npf.sys (CACE Technologies, Inc.)
DRV:64bit: - (LVUVC64) -- C:\Windows\SysNative\drivers\lvuvc64.sys (Logitech Inc.)
DRV:64bit: - (LVRS64) -- C:\Windows\SysNative\drivers\lvrs64.sys (Logitech Inc.)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (WSDPrintDevice) -- C:\Windows\SysNative\drivers\WSDPrint.sys (Microsoft Corporation)
DRV:64bit: - (usb_rndisx) -- C:\Windows\SysNative\drivers\usb8023x.sys (Microsoft Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = C3 2A CE 5D 0F AA CD 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{30DCB604-169A-4F41-B7AA-49F1FD9E1DC1}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=HIP&o=102875&src=kw&q={searchTerms}&locale=&apn_ptnrs=6F&apn_dtid=YYYYYYYYDE&apn_uid=ba7d9a1b-7182-4aa3-853d-b08f00353f12&apn_sauid=7ACDB62F-BFC1-4E91-9569-4BEF7EC6214B
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Google"
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: testpilot@labs.mozilla.com:1.2.2
FF - prefs.js..extensions.enabledAddons: wrc@avast.com:7.0.1474
FF - prefs.js..extensions.enabledAddons: info@maltegoetz.de:1.0.1
FF - prefs.js..extensions.enabledAddons: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.9.12
FF - prefs.js..network.proxy.http: "www-proxy.t-online.de"
FF - prefs.js..network.proxy.http_port: 80
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, stealthy.co"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_287.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\adobe.com/AdobeAAMDetect: C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll (Adobe Systems)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.4: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll (ESN Social Software AB)
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.132.0: C:\Program Files (x86)\Battlelog Web Plugins\1.132.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.140.0: C:\Program Files (x86)\Battlelog Web Plugins\1.140.0\npesnlaunch.dll (ESN Social Software AB)
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=2.1.2: C:\Program Files (x86)\Battlelog Web Plugins\2.1.2\npesnlaunch.dll (ESN Social Software AB)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.2: C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKLM\Software\MozillaPlugins\adobe.com/AdobeAAMDetect: C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll (Adobe Systems)
FF - HKCU\Software\MozillaPlugins\facebook.com/fbDesktopPlugin: C:\Users\Ikaron\AppData\Local\Facebook\Messenger\2.1.4651.0\npFbDesktopPlugin.dll (Facebook, Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Nightly 19.0a1\extensions\\Components: C:\PROGRAM FILES\NIGHTLY\COMPONENTS [2012.10.27 22:26:16 | 000,000,000 | ---D | M]
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Nightly 19.0a1\extensions\\Plugins: C:\PROGRAM FILES\NIGHTLY\PLUGINS
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\wrc@avast.com: C:\Program Files\AVAST Software\Avast\WebRep\FF [2012.11.04 19:11:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}: C:\Program Files (x86)\RelevantKnowledge\firefox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{F003DA68-8256-4b37-A6C4-350FA04494DF}: C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.11.06 18:42:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.09.28 21:19:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
 
[2012.07.09 21:49:36 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Ikaron\AppData\Roaming\mozilla\Extensions
[2012.07.09 21:49:36 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Ikaron\AppData\Roaming\mozilla\Extensions\songbird@songbirdnest.com
[2012.11.22 13:39:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Ikaron\AppData\Roaming\mozilla\Firefox\Profiles\n8xigybo.default\extensions
[2012.11.20 21:03:09 | 000,000,000 | ---D | M] (FireShot) -- C:\Users\Ikaron\AppData\Roaming\mozilla\Firefox\Profiles\n8xigybo.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}
[2012.11.22 13:39:11 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Ikaron\AppData\Roaming\mozilla\Firefox\Profiles\n8xigybo.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.07.08 21:20:12 | 000,000,000 | ---D | M] (Battlefield Play4Free) -- C:\Users\Ikaron\AppData\Roaming\mozilla\Firefox\Profiles\n8xigybo.default\extensions\battlefieldplay4free@ea.com
[2012.11.11 16:48:30 | 000,011,691 | ---- | M] () (No name found) -- C:\Users\Ikaron\AppData\Roaming\mozilla\firefox\profiles\n8xigybo.default\extensions\info@maltegoetz.de.xpi
[2012.10.27 23:19:20 | 000,620,484 | ---- | M] () (No name found) -- C:\Users\Ikaron\AppData\Roaming\mozilla\firefox\profiles\n8xigybo.default\extensions\testpilot@labs.mozilla.com.xpi
[2012.11.21 22:33:57 | 000,804,737 | ---- | M] () (No name found) -- C:\Users\Ikaron\AppData\Roaming\mozilla\firefox\profiles\n8xigybo.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012.11.06 18:42:08 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.11.04 19:11:19 | 000,000,000 | ---D | M] (avast! WebRep) -- C:\PROGRAM FILES\AVAST SOFTWARE\AVAST\WEBREP\FF
[2012.10.24 18:50:04 | 000,261,600 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.10.24 23:03:12 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.10.24 23:03:11 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.10.24 23:03:12 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.10.24 23:03:12 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.10.24 23:03:12 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.10.24 23:03:11 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.com
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.com
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\22.0.1229.96\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\22.0.1229.96\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\22.0.1229.96\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: ESN Launch Mozilla Plugin (Enabled) = C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll
CHR - plugin: ESN Sonar API (Enabled) = C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll
CHR - plugin: NVIDIA 3D Vision (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll
CHR - plugin: NVIDIA 3D VISION (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll
CHR - Extension: YouTube = C:\Users\Ikaron\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: Google-Suche = C:\Users\Ikaron\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: avast! WebRep = C:\Users\Ikaron\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1466_0\
CHR - Extension: avast! WebRep = C:\Users\Ikaron\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1474_0\
CHR - Extension: Google Mail = C:\Users\Ikaron\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2012.11.21 13:43:19 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Programme\AVAST Software\Avast\aswWebRepIE64.dll (AVAST Software)
O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)
O2 - BHO: (Logitech SetPoint) - {AF949550-9094-4807-95EC-D1C317803333} - C:\Program Files\Logitech\SetPointP\32-bit\SetPointSmooth.dll File not found
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Programme\AVAST Software\Avast\aswWebRepIE64.dll (AVAST Software)
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)
O4:64bit: - HKLM..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming File not found
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avast] C:\Program Files\AVAST Software\Avast\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - HKLM..\Run: [NUSB3MON] C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation)
O4 - HKCU..\Run: [Akamai NetSession Interface] C:\Users\Ikaron\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.)
O4 - HKCU..\Run: [EADM] C:\Program Files (x86)\Origin\Origin.exe (Electronic Arts)
O4 - HKCU..\Run: [Sizer] C:\Program Files (x86)\Sizer\sizer.exe (Brian Apps Products)
O4 - HKCU..\Run: [Steam] C:\Program Files (x86)\Steam\steam.exe (Valve Corporation)
O4 - Startup: C:\Users\Ikaron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Ikaron\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Ikaron\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Ikaron\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.10.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6FC5A315-0E9C-47AF-B4E6-221FC62F7456}: DhcpNameServer = 192.168.10.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C0DAAABD-C087-4489-9E7B-A98A7C28D728}: DhcpNameServer = 192.168.42.129
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20:64bit: - Winlogon\Notify\LBTWlgn: DllName - (c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll) - c:\Programme\Common Files\logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.01.18 11:33:16 | 000,000,042 | R--- | M] () - D:\Autorun.inf -- [ UDF ]
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - F:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 14 Days ==========
 
[2012.11.22 13:41:33 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Ikaron\Desktop\OTL(1).exe
[2012.11.22 13:39:39 | 000,000,000 | R--D | C] -- C:\Program Files (x86)\Skype
[2012.11.22 13:39:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.11.22 13:39:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Skype
[2012.11.22 13:39:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Hamachi
[2012.11.22 13:39:28 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\LogMeIn Hamachi
[2012.11.21 18:03:14 | 000,000,000 | ---D | C] -- C:\Users\Ikaron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Paranormal
[2012.11.21 18:03:08 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Paranormal
[2012.11.21 13:56:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Logitech
[2012.11.21 13:43:20 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN
[2012.11.21 13:42:03 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012.11.21 13:38:09 | 000,000,000 | ---D | C] -- C:\ComboFix
[2012.11.20 22:31:15 | 000,000,000 | ---D | C] -- C:\Users\Ikaron\AppData\Local\ESN
[2012.11.20 22:21:00 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2012.11.20 22:21:00 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2012.11.20 22:21:00 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2012.11.20 22:20:56 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.11.20 22:20:50 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012.11.20 19:01:39 | 000,000,000 | ---D | C] -- C:\Users\Ikaron\Desktop\UI
[2012.11.19 20:47:20 | 000,000,000 | ---D | C] -- C:\Users\Ikaron\Desktop\Logs
[2012.11.17 15:22:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Origin
[2012.11.16 23:13:20 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2012.11.16 22:54:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin
[2012.11.16 16:57:48 | 000,000,000 | ---D | C] -- C:\Users\Ikaron\AppData\Roaming\Malwarebytes
[2012.11.16 16:57:36 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.11.16 16:57:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.11.15 00:29:21 | 000,054,376 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\WdfLdr.sys
[2012.11.15 00:29:21 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\Wdfres.dll
[2012.11.15 00:27:43 | 000,096,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2012.11.15 00:27:42 | 000,248,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2012.11.15 00:27:42 | 000,237,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll
[2012.11.15 00:27:42 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll
[2012.11.15 00:27:42 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2012.11.15 00:27:42 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieUnatt.exe
[2012.11.15 00:27:42 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieUnatt.exe
[2012.11.15 00:27:42 | 000,073,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2012.11.15 00:27:41 | 002,312,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll
[2012.11.15 00:27:41 | 001,494,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl
[2012.11.15 00:27:41 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl
[2012.11.15 00:27:41 | 000,729,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll
[2012.11.15 00:27:40 | 000,816,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2012.11.15 00:27:40 | 000,717,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2012.11.15 00:27:40 | 000,599,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll
[2012.11.15 00:27:30 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\WUDFx.dll
[2012.11.15 00:27:30 | 000,229,888 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\WUDFHost.exe
[2012.11.15 00:27:30 | 000,194,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\WUDFPlatform.dll
[2012.11.15 00:27:30 | 000,045,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\WUDFCoinstaller.dll
[2012.11.14 20:44:46 | 000,095,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\synceng.dll
[2012.11.14 20:44:46 | 000,078,336 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\synceng.dll
[2012.11.12 19:17:19 | 000,000,000 | R--D | C] -- C:\Users\Ikaron\Desktop\
[2012.11.11 02:43:48 | 000,188,736 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\drivers\nvhda64v.sys
[2012.11.11 02:43:48 | 000,031,040 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvhdap64.dll
[2012.11.11 02:43:47 | 000,398,656 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\drivers\nvstusb.sys
[2012.11.08 18:49:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Selesnia Online 3.0
[2012.11.08 18:45:34 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\DigitalEden
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\Program Files (x86)\*.tmp files -> C:\Program Files (x86)\*.tmp -> ]
 
========== Files - Modified Within 14 Days ==========
 
[2012.11.22 13:41:34 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Ikaron\Desktop\OTL(1).exe
[2012.11.22 13:39:04 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.11.22 13:38:45 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.11.22 13:38:44 | 2129,268,735 | -HS- | M] () -- C:\hiberfil.sys
[2012.11.21 22:49:00 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.11.21 22:33:01 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.11.21 20:32:01 | 000,000,932 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3977161494-1372682262-735675707-1000UA.job
[2012.11.21 18:06:20 | 001,589,950 | ---- | M] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2012.11.21 18:06:20 | 000,696,746 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.11.21 18:06:20 | 000,652,064 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.11.21 18:06:20 | 000,148,042 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.11.21 18:06:20 | 000,120,996 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.11.21 18:06:18 | 001,589,950 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.11.21 18:03:14 | 000,002,151 | ---- | M] () -- C:\Users\Ikaron\Desktop\Paranormal.lnk
[2012.11.21 17:32:00 | 000,000,910 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3977161494-1372682262-735675707-1000Core.job
[2012.11.21 15:12:13 | 000,000,730 | ---- | M] () -- C:\Users\Ikaron\AppData\Local\recently-used.xbel
[2012.11.21 13:50:14 | 000,014,800 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.11.21 13:50:14 | 000,014,800 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.11.21 13:43:19 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2012.11.20 22:51:13 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\config.nt
[2012.11.18 13:50:43 | 000,002,006 | -H-- | M] () -- C:\Users\Ikaron\Documents\Default.rdp
[2012.11.15 15:05:04 | 000,020,380 | ---- | M] () -- C:\Users\Ikaron\Desktop\Zeichnung2.svg
[2012.11.15 13:53:10 | 000,329,192 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.11.11 21:49:47 | 000,281,520 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr
[2012.11.11 21:49:47 | 000,281,520 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2012.11.11 21:49:38 | 000,280,904 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0
[2012.11.11 21:13:58 | 000,280,904 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex2
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\Program Files (x86)\*.tmp files -> C:\Program Files (x86)\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.11.21 18:03:14 | 000,002,151 | ---- | C] () -- C:\Users\Ikaron\Desktop\Paranormal.lnk
[2012.11.21 15:12:13 | 000,000,730 | ---- | C] () -- C:\Users\Ikaron\AppData\Local\recently-used.xbel
[2012.11.20 22:21:00 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2012.11.20 22:21:00 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2012.11.20 22:21:00 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2012.11.20 22:21:00 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2012.11.20 22:21:00 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2012.11.15 14:36:46 | 000,020,380 | ---- | C] () -- C:\Users\Ikaron\Desktop\Zeichnung2.svg
[2012.11.15 00:29:23 | 000,000,003 | ---- | C] () -- C:\Windows\SysNative\drivers\MsftWdf_Kernel_01011_Inbox_Critical.Wdf
[2012.11.15 00:27:30 | 000,000,003 | ---- | C] () -- C:\Windows\SysNative\drivers\MsftWdf_User_01_11_00_Inbox_Critical.Wdf
[2012.11.07 23:08:29 | 001,270,667 | ---- | C] () -- C:\Users\Ikaron\m1canals.svg
[2012.11.05 21:10:27 | 000,000,040 | ---- | C] () -- C:\Windows\MSYS.INI
[2012.10.14 01:58:01 | 002,434,856 | ---- | C] () -- C:\Windows\SysWow64\pbsvc_bc2.exe
[2012.09.28 21:23:34 | 000,237,568 | R--- | C] () -- C:\Windows\SysWow64\qtmlClient.dll
[2012.09.28 21:23:34 | 000,001,985 | ---- | C] () -- C:\Windows\Graffiti5.3.ini
[2012.09.09 22:53:36 | 039,125,176 | ---- | C] () -- C:\Users\Ikaron\Neues Dokument 1.2012_09_09_23_53_36.0.svg
[2012.09.01 01:17:16 | 000,032,256 | ---- | C] () -- C:\Windows\SysWow64\AVSredirect.dll
[2012.08.24 01:41:25 | 000,000,155 | ---- | C] () -- C:\Users\Ikaron\.appletviewer
[2012.08.17 20:57:23 | 000,000,039 | ---- | C] () -- C:\Users\Ikaron\AppData\Roaming\ProgTool.cfg
[2012.08.17 20:55:09 | 000,000,659 | ---- | C] () -- C:\Users\Ikaron\AppData\Roaming\SiSy.cfg
[2012.08.17 20:55:09 | 000,000,000 | ---- | C] () -- C:\ProgramData\SiSy.cfg
[2012.08.17 20:53:03 | 000,000,087 | ---- | C] () -- C:\Windows\SysWow64\fsk.ini
[2012.08.17 19:25:08 | 000,000,065 | ---- | C] () -- C:\Users\Ikaron\AppData\Roaming\CDStart.cfg
[2012.07.14 12:12:27 | 001,589,950 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2012.07.08 21:38:11 | 000,281,520 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2012.07.08 21:38:03 | 000,076,888 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2012.07.05 07:36:33 | 000,001,769 | ---- | C] () -- C:\Windows\Language_trs.ini
[2012.07.05 07:36:30 | 000,026,272 | ---- | C] () -- C:\Windows\Ascd_tmp.ini
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:30:56 | 014,165,504 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

< End of report >
         
Extras.txt
- Existiert nicht (Wurde nicht erstellt und auch nicht angezeigt)

Ist auf minimal Output, ich hoffe das stört nicht^^

So, grade neu installiert (Origin) und prompt ist es wieder gelöscht. Evtl. Fehler beim UpdateTool? Ich hab dieses grade nochmal mit Adminrechten gestartet, jetzt existiert Origin.exe wieder. Allerdings kann darauf (wie immer) nicht zugegriffen werden (Keine Berechtigung). Danach ist es wieder weg.
Frage, die sich mir da gleich stellt:
Was ist das?
Code:
ATTFilter
[2012.11.20 22:21:00 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2012.11.20 22:21:00 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2012.11.20 22:21:00 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2012.11.20 22:21:00 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2012.11.20 22:21:00 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
         
Und warum wurden diese Dateien in den letzten 14 Tagen erstellt?

Geändert von Ikaron (22.11.2012 um 14:00 Uhr)

Alt 22.11.2012, 15:29   #14
schrauber
/// the machine
/// TB-Ausbilder
 

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Die gehören zu Combofix. Lösch das Origin mal wieder komplett und versuch es erneut.

Ausserdem das hier:


Downloade dir bitte Farbar's Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
    • Other Services
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.
Poste bitte den Inhalt hier.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 22.11.2012, 21:43   #15
Ikaron
 
Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Standard

Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?



Origin neu zu installieren bringt nix.
Code:
ATTFilter
Farbar Service Scanner Version: 09-11-2012
Ran by Ikaron (administrator) on 22-11-2012 at 21:42:19
Running from "C:\Users\Ikaron\Desktop"
Windows 7 Home Premium  (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Action Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys
[2012-07-05 08:18] - [2011-12-28 04:59] - 0499200 ____A (Microsoft Corporation) DB9D6C6B2CD95A9CA414D045B627422E

C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys
[2012-07-05 08:19] - [2012-03-30 12:09] - 1895280 ____A (Microsoft Corporation) 624C5B3AA4C99B3184BB922D9ECE3FF0

C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll
[2012-10-10 19:16] - [2012-06-02 06:25] - 0182272 ____A (Microsoft Corporation) BAF19B633933A9FB4883D27D66C39E9A

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****
         

Antwort

Themen zu Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?
avast, datei, dateien, fehler, firefox, forum, freezes, funktioniert, geforce, gen, home, komische, löschen, malware, malwarebytes, mbr-rootkit, nicht löschen, origin, problem, prozesse, registrykey, rootkit, ruckler, system, tools, trotz, verschickt, virus, windows, windows 7, windows 7 x64, zugriffsrechte




Ähnliche Themen: Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?


  1. Ruckler in The Witcher 3 trotz ausreichender Hardware
    Plagegeister aller Art und deren Bekämpfung - 04.11.2015 (10)
  2. Keine Admin Rechte in einem bestimmten Ordner !
    Alles rund um Windows - 01.03.2014 (2)
  3. PUP.OfferBundler.ST - Fund und verlorene Admin-Rechte
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (1)
  4. Keine Admin rechte mehr
    Log-Analyse und Auswertung - 12.06.2012 (7)
  5. GVU-Trojaner entfernen, ohne Admin-rechte
    Log-Analyse und Auswertung - 07.05.2012 (20)
  6. XP - Taskmanager durch Admin gesperrt und fehlende aktive Symbole in Infobereich
    Plagegeister aller Art und deren Bekämpfung - 25.01.2012 (3)
  7. Admin Konto hat keine Admin Rechte mehr
    Log-Analyse und Auswertung - 08.08.2011 (1)
  8. Hijacker, PC startet nach anmeldung, Keine admin rechte mehr..
    Log-Analyse und Auswertung - 20.12.2010 (4)
  9. Keine Admin rechte mehr
    Log-Analyse und Auswertung - 19.06.2010 (1)
  10. PC hat Virenbefall!!! Keine Admin-Rechte
    Log-Analyse und Auswertung - 06.09.2009 (2)
  11. Admin-Rechte futsch
    Alles rund um Windows - 11.08.2009 (10)
  12. Ohne Admin-Rechte ins Internet?
    Alles rund um Windows - 11.11.2007 (2)
  13. Nach Neustart - bin ich ein Admin ohne rechte
    Plagegeister aller Art und deren Bekämpfung - 03.09.2007 (1)
  14. Verlorene Admin-Rechte: qommljk.dll
    Plagegeister aller Art und deren Bekämpfung - 27.02.2007 (1)
  15. admin rechte überspringen??
    Alles rund um Windows - 16.02.2007 (6)
  16. Bitdefender 9 PE und Admin-Rechte
    Antiviren-, Firewall- und andere Schutzprogramme - 27.12.2005 (1)
  17. Admin Rechte weg
    Plagegeister aller Art und deren Bekämpfung - 25.04.2005 (9)

Zum Thema Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? - Soo, ich hab mich hier jetzt schon ne Stunde durch's Forum gewühlt, allerdings wollte ich dann auch nicht zuu viel alleine probieren, da die Tools die da beschrieben werden ja - Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit?...
Archiv
Du betrachtest: Fehlende Rechte trotz Admin-Account, Ruckler nach abgeschlossenen Downloads, Mögliches MBR Rootkit? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.