Vermutlicher Trojaner/Rat/Stealer "RtVOsd.exe" oder ein anderes Programm (klicken im Hintergrund und cmd überträgt dateien ohne Auforderung)

LetzFetzii · 14.02.2013, 00:49

Hallo Leute,

Undzwar glaube ich, dass ich einen Trojaner / RAT oder Sonstiges auf dem PC habe.

Alsoo: Ich wurde mal vor ca 4-5 Monaten gerattet. Alles lief für das Spiel "Runescape" ab. Jmd hatte mir eine Datei gesendet über Skype, ich habe sie geöffnet und damm kam Microsoft Framework fehler dass er die Datei nicht ausführen kann. Bei jedem Neustart kam es.

Naja ich hab dann NetFrameWork deinstalliert und installiert. Er hat daraufhin zugeschlagen ingame und hat mein Account leer geräumt. Naja okay hab dann Windows neu aufgesetzt.

Jetzt zurzeit höre ich aber IMMER wieder das klicken einer Maus im Hintergrund, manchmal 1x manchmal 2x. Heute öffnete sich für eine ganz kleine Sekunde ein cmd Fenster und schloss sich direkt, daraufhin wusste ich, ich hab mir irgendwas eingefangen.

Nachdem ich im Task-Manager rumgeguckt habe und einen Prozess beenden wollte, öffnete sich ein CMD fenster erneut und da stand dann "Datei übertragung..1" direkt CMD fenster geschlossen und Wlan gekappt, damit er keine Daten sendet.

Ich habe mir danach Malwarebytes , PC Spyware Doctor with Antivirus und Secruity Task Manager heruntergeladen.

Der Prozess den ich beenden wollte war eine, die sich "RtVOsd.exe" nennt, kp ob sie es ist oder nicht...

Hier hab ich mal ein Screen von den Prozessen die laufen:

Naja, hoffentlich kann mir jemand helfen, Antimalware Bytes hat nichts gefunden und Microsoft Secruity Essentials hat ebenfalls nichts gefunden / Nichtmal angeschlagen obwohl es eigentlich dass immer tut bei nem Virus / Trojaner.

Hoffe auf gute Hilfe

mfg

€dit: Achja ich kann weder die Prozessstruktur beenden, noch den Dateipfad öffnen oder die Eigenschaften aufrufen. (von der RtVOsd.exe).

Ebenfalls kann ich es nicht beenden, Fehler "Zugriff verweigert" ...

aharonov · 14.02.2013, 09:38

Hallo LetzFetzii und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
- .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- .. installiere oder deinstalliere während der Bereinigung keine Software.
- .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
- Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
- Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Zitat:

Naja okay hab dann Windows neu aufgesetzt.

Ist denn nach diesem Neuaufsetzen wieder so etwas vorgefallen wie eine über Skype erhaltene Datei öffnen oder ähnlich?

Zitat:

Der Prozess den ich beenden wollte war eine, die sich "RtVOsd.exe" nennt, kp ob sie es ist oder nicht...

Warum hast du diesen Prozess verdächtigt? Dem Dateinamen nach (das muss natürlich nichts heissen) könnte der wie der Eintrag darüber zu Realtek gehören.

Schauen wir einmal drüber:

Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button.
Bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
Schliesse bitte alle anderen Programme.
Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Sollte sich ein Fenster mit folgender Warnung öffnen
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
dann klicke unbedingt auf No.
Entferne rechts den Haken bei:
- IAT/EAT
- Show all
Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
Starte den Scan mit einem Klick auf Scan.
Mache gar nichts am Computer, während der Scan läuft!
Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.

Schritt 3

Downloade dir bitte DDS (von sUBs) auf deinen Desktop.

Starte bitte DDS mit einem Doppelklick.
Ändere keine Einstellungen ohne Anweisung
Drücke auf Start.
Der Desktop wird verschwinden, das ist normal.
Wenn der Scan beendet ist, wird DDS 2 Logfiles (dds.txt und attach.txt) auf deinem Desktop erstellen.
Bitte poste beide Logfiles in deiner nächsten Antwort.

Bitte poste in deiner nächsten Antwort:

Log von Gmer
Logs von DDS

LetzFetzii · 14.02.2013, 19:21

Zitat:

Ist denn nach diesem Neuaufsetzen wieder so etwas vorgefallen wie eine über Skype erhaltene Datei öffnen oder ähnlich?

Kann ich leider nicht sagen, ist schon 6-8 Monate her..

Zitat:

Warum hast du diesen Prozess verdächtigt? Dem Dateinamen nach (das muss natürlich nichts heissen) könnte der wie der Eintrag darüber zu Realtek gehören.

Weil ich diesen Prozess weder schließen, öffnen oder den Dateipfad anzeigen kann...

Im Internet steht dass es die Eingabe dokumentieren kann, das könnte auf einen RAT Hinweisen.

Hier die dateien:

attach dds:

Code:

ATTFilter

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.DDS Logfile:DDS Logfile:
CODEDDS Logfile:
CODEDDS Logfile:
CODEDDS Logfile:
CODEDDS Logfile:
(Ver_2012-11-20.01)

.
Microsoft Windows 7 Home Premium 
Boot Device: \Device\HarddiskVolume1
Install Date: 23.11.2012 12:05:52
System Uptime: 13.02.2013 01:24:33 (41 hours ago)
.
Motherboard: Hewlett-Packard |  | 1604
Processor: AMD V140 Processor | Socket S1G4 | 2300/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 281 GiB total, 188,527 GiB free.
D: is FIXED (NTFS) - 17 GiB total, 2,402 GiB free.
E: is CDROM (CDFS)
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP64: 06.02.2013 18:16:54 - Windows Update
RP65: 07.02.2013 22:45:24 - Gerätetreiber-Paketinstallation: TAP-Windows Provider V9 Netzwerkadapter
RP66: 08.02.2013 16:33:08 - Windows Update
RP67: 12.02.2013 10:43:28 - Windows Update
RP68: 13.02.2013 11:51:56 - Installed HP Support Assistant
RP69: 13.02.2013 12:06:39 - Windows Modules Installer
RP70: 13.02.2013 12:07:57 - Windows Modules Installer
RP71: 13.02.2013 12:38:18 - TuneUp Utilities 2013 wird installiert
.
==== Installed Programs ======================
.
Acrobat.com
Adobe AIR
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader 9.5.3 MUI
Adobe Shockwave Player 11.5
Agatha Christie - Death on the Nile
AMD USB Filter Driver
applicationupdater
ATI Catalyst Install Manager
Bejeweled 2 Deluxe
Broadcom 802.11 Wireless LAN Adapter
Browser Guard 4.0
Call of Duty: Black Ops - Multiplayer
Camtasia Studio 8
Catalyst Control Center - Branding
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
Catalyst Control Center Graphics Previews Vista
Catalyst Control Center InstallProxy
Catalyst Control Center Localization All
ccc-core-static
ccc-utility64
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
Chuzzle Deluxe
CyberLink DVD Suite
CyberLink PowerDVD 9
CyberLink YouCam
Definition Update for Microsoft Office 2010 (KB982726) 32-Bit Edition
Diner Dash 2 Restaurant Rescue
Dota 2
Energy Star Digital Logo
ESU for Microsoft Windows 7
FATE
Fraps
Free Studio version 2013
gamelauncher-ps2-psg
Hewlett-Packard ACLM.NET v1.2.1.1
HP Advisor
HP Customer Experience Enhancements
HP Documentation
HP Game Console
HP Games
HP Power Manager
HP Quick Launch
HP Setup
HP Software Framework
HP Support Assistant
HP Wireless Assistant
ICQ 8.0 (build 5990, für aktuellen Benutzer)
Insaniquarium Deluxe
Java 7 Update 9
Java Auto Updater
Java(TM) 6 Update 20 (64-bit)
Jewel Quest II
Jewel Quest Solitaire
John Deere Drive Green
join.me
Junk Mail filter update
League of Legends
Malwarebytes Anti-Malware Version 1.70.0.1100
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft Application Error Reporting
Microsoft Choice Guard
Microsoft Office 2010 Service Pack 1 (SP1)
Microsoft Office Access MUI (German) 2010
Microsoft Office Excel MUI (German) 2010
Microsoft Office Home and Business 2010
Microsoft Office Office 64-bit Components 2010
Microsoft Office OneNote MUI (German) 2010
Microsoft Office Outlook MUI (German) 2010
Microsoft Office PowerPoint MUI (German) 2010
Microsoft Office Proof (English) 2010
Microsoft Office Proof (French) 2010
Microsoft Office Proof (German) 2010
Microsoft Office Proof (Italian) 2010
Microsoft Office Proofing (German) 2010
Microsoft Office Publisher MUI (German) 2010
Microsoft Office Shared 64-bit MUI (German) 2010
Microsoft Office Shared MUI (German) 2010
Microsoft Office Single Image 2010
Microsoft Office Word MUI (German) 2010
Microsoft Security Client
Microsoft Security Essentials
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Mozilla Firefox 18.0.2 (x86 de)
Mozilla Maintenance Service
MSVCRT
OpenVPN 2.3.0-I001 
PC Tools Spyware Doctor mit AntiVirus 9.1
Penguins!
Pidgin
PlanetSide 2
Plants vs. Zombies
Polar Bowler
Proxifier version 3.21
Realtek Ethernet Controller Driver For Windows 7
Realtek High Definition Audio Driver
Recovery Manager
RtVOsd
RuneScape Launcher 1.2.2
Security Task Manager 1.8g
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2742595)
Security Update for Microsoft Excel 2010 (KB2597126) 32-Bit Edition
Security Update for Microsoft InfoPath 2010 (KB2687417) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2553091)
Security Update for Microsoft Office 2010 (KB2553096)
Security Update for Microsoft Office 2010 (KB2553371) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2553447) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2589320) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2597986) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2598243) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2687501) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2687510) 32-Bit Edition
Security Update for Microsoft PowerPoint 2010 (KB2553185) 32-Bit Edition
Security Update for Microsoft Visio Viewer 2010 (KB2598287) 32-Bit Edition
Security Update for Microsoft Word 2010 (KB2760410) 32-Bit Edition
Skype™ 6.1
Slingo Deluxe
Steam
Stykz for Windows 1.0.2
Synaptics Pointing Device Driver
System Requirements Lab CYRI
TAP-Windows 9.9.2
TeamSpeak 3 Client
TeamViewer 8
The War Z version alpha
TuneUp Utilities 2013
TuneUp Utilities Language Pack (de-DE)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft Office 2010 (KB2553065)
Update for Microsoft Office 2010 (KB2553181) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553267) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553310) 32-Bit Edition
Update for Microsoft Office 2010 (KB2566458)
Update for Microsoft Office 2010 (KB2596964) 32-Bit Edition
Update for Microsoft Office 2010 (KB2598242) 32-Bit Edition
Update for Microsoft Office 2010 (KB2687509) 32-Bit Edition
Update for Microsoft OneNote 2010 (KB2553290) 32-Bit Edition
Update for Microsoft OneNote 2010 (KB2687277) 32-Bit Edition
Update for Microsoft Outlook 2010 (KB2687623) 32-Bit Edition
Update for Microsoft Outlook Social Connector 2010 (KB2553406) 32-Bit Edition
Update for Microsoft SharePoint Workspace 2010 (KB2589371) 32-Bit Edition
Virtual Villagers - The Secret City
VLC media player 2.0.5
Vodafone Mobile Broadband Lite
Wedding Dash
Windows Live-Uploadtool
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Fotogalerie
Windows Live ID Sign-in Assistant
Windows Live Mail
Windows Live Messenger
Windows Live Movie Maker
Windows Live Sync
Windows Live Writer
WinRAR 4.20 (64-Bit)
Your Freedom 20130125-01
Zuma Deluxe
.
==== End Of File ===========================

dds:

Code:

ATTFilter

DDS (Ver_2012-11-20.01) - NTFS_AMD64 
Internet Explorer: 9.0.8112.16457  BrowserJavaVersion: 10.9.2
Run by Hanna at 18:24:28 on 2013-02-14
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3835.1627 [GMT 1:00]
.
AV: PC Tools Spyware Doctor with AntiVirus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}
AV: Microsoft Security Essentials *Enabled/Updated* {B140BF4E-23BB-4198-90AB-A51A4C60A69C}
SP: Microsoft Security Essentials *Enabled/Updated* {0A215EAA-0581-4E16-AA1B-9E6837E7EC21}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: PC Tools Spyware Doctor with AntiVirus *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}
.
============== Running Processes ===============
.
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
c:\Program Files\Microsoft Security Client\MsMpEng.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\WLANExt.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe
C:\Windows\SysWOW64\ezSharedSvcHost.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe
C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files (x86)\Vodafone\Vodafone Mobile Broadband\Bin\VmbService.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\Program Files\Microsoft Security Client\NisSrv.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe
C:\Program Files\Realtek\RtVOsd\RtVOsdService.exe
C:\Program Files\Realtek\RtVOsd\RtVOsd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe
C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe
C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesService64.exe
C:\Program Files (x86)\TuneUp Utilities 2013\OneClick.exe
C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskhost.exe
C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesApp64.exe
C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpSystemStatusCheck.exe
C:\Users\Hanna\AppData\Roaming\ICQM\icq.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe -k swprv
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\schtasks.exe
C:\Windows\system32\sppsvc.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Riot Games\League of Legends\RADS\system\rads_user_kernel.exe
C:\Riot Games\League of Legends\RADS\projects\lol_launcher\releases\0.0.0.108\deploy\LoLLauncher.exe
C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.240\deploy\LolClient.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\System32\cscript.exe
.
============== Pseudo HJT Report ===============
.
uURLSearchHooks: PC Tools Browser Guard: {472734EA-242A-422b-ADF8-83D1E48CC825} - C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\PCTBrowserDefender.dll
mWinlogon: Userinit = C:\Windows\System32\userinit.exe
BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: PC Tools Browser Guard BHO: {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\PCTBrowserDefender.dll
BHO: Windows Live ID Sign-in Helper: {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL
BHO: HP Network Check Helper: {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll
BHO: DVDVideoSoft WebPageAdjuster Class: {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll
TB: PC Tools Browser Guard: {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\PCTBrowserDefender.dll
uRun: [icq] C:\Users\Hanna\AppData\Roaming\ICQM\icq.exe -CU
uRun: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
uRun: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
uRunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_5_502_149_Plugin.exe -update plugin
mRun: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun: [HP Quick Launch] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
mRunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
mPolicies-Explorer: NoActiveDesktop = dword:1
mPolicies-Explorer: NoActiveDesktopChanges = dword:1
mPolicies-Explorer: EnableShellExecuteHooks = dword:1
mPolicies-System: ConsentPromptBehaviorAdmin = dword:5
mPolicies-System: ConsentPromptBehaviorUser = dword:3
mPolicies-System: EnableUIADesktopToggle = dword:0
IE: An OneNote s&enden - C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105
IE: Free YouTube Download - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\freeytvdownloader.htm
IE: Free YouTube to MP3 Converter - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\freeytmp3downloader.htm
IE: Nach Microsoft E&xcel exportieren - C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
IE: {25510184-5A38-4A99-B273-DCA8EEF6CD08} - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\NCLauncherFromIE.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
IE: {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll
LSP: %SystemRoot%\system32\PrxerDrv.dll
Trusted Zone: clonewarsadventures.com
Trusted Zone: freerealms.com
Trusted Zone: soe.com
Trusted Zone: sony.com
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab
TCP: NameServer = 192.168.2.1
TCP: Interfaces\{17EFA897-1394-443C-8A5C-97D6C8B5F0F8} : NameServer = 8.8.8.8,8.8.4.4
TCP: Interfaces\{17EFA897-1394-443C-8A5C-97D6C8B5F0F8} : DHCPNameServer = 192.168.2.1
TCP: Interfaces\{17EFA897-1394-443C-8A5C-97D6C8B5F0F8}\2656C6B696E6E233436663 : DHCPNameServer = 192.168.2.1
TCP: Interfaces\{17EFA897-1394-443C-8A5C-97D6C8B5F0F8}\75C414E4D2142354139323 : DHCPNameServer = 192.168.2.1 192.168.2.1
TCP: Interfaces\{17EFA897-1394-443C-8A5C-97D6C8B5F0F8}\8456273657C6 : DHCPNameServer = 192.168.2.1
TCP: Interfaces\{17EFA897-1394-443C-8A5C-97D6C8B5F0F8}\F623D275C414E43393 : NameServer = 8.8.8.8,8.8.4.4
TCP: Interfaces\{17EFA897-1394-443C-8A5C-97D6C8B5F0F8}\F623D275C414E43393 : DHCPNameServer = 192.168.1.1
TCP: Interfaces\{978BA504-19AC-42F4-A73E-314F0E12D69B} : DHCPNameServer = 77.109.139.29 77.109.138.45
TCP: Interfaces\{AC4440EE-169E-47C8-9C5D-F718091E8ADB} : DHCPNameServer = 192.168.42.129
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll
SSODL: WebCheck - <orphaned>
x64-BHO: Windows Live ID Sign-in Helper: {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
x64-BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL
x64-BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
x64-BHO: DVDVideoSoft WebPageAdjuster Class: {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns64.dll
x64-Run: [SynTPEnh] C:\Program Files (x86)\Synaptics\SynTP\SynTPEnh.exe
x64-Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe -s
x64-Run: [HPWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe 120 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe /hidden
x64-Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
x64-IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
x64-IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
x64-IE: {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns64.dll
x64-DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
x64-DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
x64-DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
x64-Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
x64-Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - <orphaned>
x64-SSODL: WebCheck - <orphaned>
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\b1x6zmp1.default\
FF - prefs.js: network.proxy.ftp - 178.18.17.211
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.socks - 178.18.17.211
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 178.18.17.211
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 0
FF - plugin: C:\PROGRA~2\MICROS~3\Office14\NPAUTHZ.DLL
FF - plugin: C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL
FF - plugin: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll
FF - plugin: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll
FF - plugin: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: C:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\b1x6zmp1.default\extensions\{c7478d43-2bd5-4844-98b8-c2a6aa9ed677}\plugins\np-mswmp.dll
FF - plugin: C:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\b1x6zmp1.default\extensions\{c7478d43-2bd5-4844-98b8-c2a6aa9ed677}\plugins\npConduitFirefoxPlugin.dll
FF - plugin: C:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\b1x6zmp1.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: C:\Windows\SysWOW64\Adobe\Director\np32dsw.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_149.dll
FF - plugin: C:\Windows\SysWOW64\npDeployJava1.dll
FF - plugin: C:\Windows\SysWOW64\npmproxy.dll
FF - ExtSQL: 2012-12-16 22:00; {c7478d43-2bd5-4844-98b8-c2a6aa9ed677}; C:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\b1x6zmp1.default\extensions\{c7478d43-2bd5-4844-98b8-c2a6aa9ed677}
FF - ExtSQL: 2012-12-21 18:34; youtubeunblocker@unblocker.yt; C:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\b1x6zmp1.default\extensions\youtubeunblocker@unblocker.yt.xpi
FF - ExtSQL: 2013-01-30 16:35; translator@zoli.bod; C:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\b1x6zmp1.default\extensions\translator@zoli.bod.xpi
FF - ExtSQL: 2013-02-11 11:52; {ACAA314B-EEBA-48e4-AD47-84E31C44796C}; C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff
FF - ExtSQL: 2013-02-13 13:15; {cb84136f-9c44-433a-9048-c5cd9df1dc16}; C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\Firefox
.
============= SERVICES / DRIVERS ===============
.
R0 MpFilter;Microsoft Malware Protection Driver;C:\Windows\System32\drivers\MpFilter.sys [2012-8-30 228768]
R0 PCTCore;PCTools KDS;C:\Windows\System32\drivers\PCTCore64.sys [2013-2-13 413448]
R0 pctDS;PC Tools Data Store;C:\Windows\System32\drivers\pctDS64.sys [2013-2-13 453896]
R0 pctEFA;PC Tools Extended File Attributes;C:\Windows\System32\drivers\pctEFA64.sys [2013-2-13 1096176]
R1 pctgntdi;pctgntdi;C:\Windows\System32\drivers\pctgntdi64.sys [2013-2-13 347016]
R1 PCTSD;PC Tools Spyware Doctor Driver;C:\Windows\System32\drivers\PCTSD64.sys [2013-2-13 253256]
R2 AERTFilters;Andrea RT Filters Service;C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe [2010-12-10 98208]
R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\System32\atiesrxx.exe [2010-12-10 202752]
R2 Browser Defender Update Service;Browser Defender Update Service;C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe [2013-2-13 580728]
R2 ezSharedSvc;Easybits Services for Windows;C:\Windows\System32\ezSharedSvcHost.exe --> C:\Windows\System32\ezSharedSvcHost.exe [?]
R2 HP Support Assistant Service;HP Support Assistant Service;C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSA_Service.exe [2012-9-27 86528]
R2 HP Wireless Assistant Service;HP Wireless Assistant Service;C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-6-18 103992]
R2 HPWMISVC;HPWMISVC;C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe [2010-6-29 27192]
R2 NisDrv;Microsoft Network Inspection System;C:\Windows\System32\drivers\NisDrvWFP.sys [2012-8-30 128456]
R2 RtVOsdService;RtVOsdService Installer;C:\Program Files\Realtek\RtVOsd\RtVOsdService.exe [2010-4-19 315392]
R2 TeamViewer8;TeamViewer 8;C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe [2013-2-12 3467768]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesService64.exe [2013-1-28 2402080]
R2 VmbService;Vodafone-Mobile-Broadband-Dienst;C:\Program Files (x86)\Vodafone\Vodafone Mobile Broadband\Bin\VmbService.exe [2011-7-14 9216]
R3 NisSrv;Microsoft-Netzwerkinspektion;C:\Program Files\Microsoft Security Client\NisSrv.exe [2012-9-12 368896]
R3 PCTBD;PC Tools Browser Defender Driver;C:\Windows\System32\drivers\PCTBD64.sys [2013-2-13 77144]
R3 RTL8167;Realtek 8167 NT Driver;C:\Windows\System32\drivers\Rt64win7.sys [2011-6-10 539240]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesDriver64.sys [2012-11-16 11880]
R3 usbfilter;AMD USB Filter Driver;C:\Windows\System32\drivers\usbfilter.sys [2010-12-10 38456]
R3 vodafone_K3805-z_dc_enum;vodafone_K3805-z_dc_enum;C:\Windows\System32\drivers\vodafone_K3805-z_dc_enum.sys [2010-9-1 75776]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S2 MBAMScheduler;MBAMScheduler;C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2013-2-13 398184]
S2 MBAMService;MBAMService;C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2013-2-13 682344]
S2 SkypeUpdate;Skype Updater;C:\Program Files (x86)\Skype\Updater\Updater.exe [2013-1-8 161536]
S3 androidusb;ADB Interface Driver;C:\Windows\System32\drivers\androidusb.sys [2010-4-29 32768]
S3 MBAMProtector;MBAMProtector;C:\Windows\System32\drivers\mbam.sys [2013-2-13 24176]
S3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;C:\Windows\System32\drivers\netw5v64.sys [2009-6-10 5434368]
S3 pctplsg;pctplsg;C:\Windows\System32\drivers\pctplsg64.sys [2013-2-13 93600]
S3 pctplsm;pctplsm;C:\Windows\System32\drivers\pctplsm64.sys [2013-2-13 87968]
S3 sdAuxService;PC Tools Auxiliary Service;C:\Program Files (x86)\PC Tools\PC Tools Security\pctsAuxs.exe [2013-2-13 403416]
S3 sdCoreService;PC Tools Security Service;C:\Program Files (x86)\PC Tools\PC Tools Security\pctsSvc.exe [2013-2-13 1162360]
S3 SrvHsfHDA;SrvHsfHDA;C:\Windows\System32\drivers\VSTAZL6.SYS [2009-7-13 292864]
S3 SrvHsfV92;SrvHsfV92;C:\Windows\System32\drivers\VSTDPV6.SYS [2009-7-13 1485312]
S3 SrvHsfWinac;SrvHsfWinac;C:\Windows\System32\drivers\VSTCNXT6.SYS [2009-7-13 740864]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\System32\drivers\TsUsbFlt.sys [2012-12-1 59392]
S3 vodafone_zte_cdc_acm;Vodafone Vodafone ZTE CDC-ACM driver (ZTE);C:\Windows\System32\drivers\vodafone_zte_cdc_acm.sys [2011-5-20 79872]
S3 vodafone_zte_cdc_ecm;vodafone_zte_cdc_ecm;C:\Windows\System32\drivers\vodafone_zte_cdc_ecm.sys [2011-5-20 58880]
S3 vodafone_zte_cpo;Vodafone Vodafone ZTE Install;C:\Windows\System32\drivers\vodafone_zte_cpo.sys [2011-5-20 14336]
S3 vodafone_zte_ecm_enum;Vodafone Vodafone ZTE DC Enumerator (ZTE);C:\Windows\System32\drivers\vodafone_zte_ecm_enum.sys [2011-5-20 56320]
S3 vodafone_zte_ecm_enum_filter;vodafone_zte_ecm_enum_filter;C:\Windows\System32\drivers\vodafone_zte_ecm_enum_filter.sys [2011-5-20 56320]
S3 WatAdminSvc;Windows-Aktivierungstechnologieservice;C:\Windows\System32\Wat\WatAdminSvc.exe [2013-2-8 1255736]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\System32\drivers\yk62x64.sys [2009-6-10 389120]
.
=============== Created Last 30 ================
.
2013-02-13 22:39:51	9161176	----a-w-	C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E15AEC47-49F0-4C25-AA18-6B7CFAAEAB96}\mpengine.dll
2013-02-13 12:14:29	77144	----a-w-	C:\Windows\System32\drivers\PCTBD64.sys
2013-02-13 12:14:25	769144	----a-w-	C:\Windows\BDTSupport.dll
2013-02-13 12:14:24	150648	----a-w-	C:\Windows\SGDetectionTool.dll
2013-02-13 12:14:21	2280568	----a-w-	C:\Windows\PCTBDCore.dll
2013-02-13 12:14:21	1690744	----a-w-	C:\Windows\PCTBDRes.dll
2013-02-13 12:08:30	347016	----a-w-	C:\Windows\System32\drivers\pctgntdi64.sys
2013-02-13 12:08:30	258424	----a-w-	C:\Windows\System32\drivers\pctwfpfilter64.sys
2013-02-13 12:08:16	16392	----a-w-	C:\Windows\System32\drivers\pctBTFix64.sys
2013-02-13 12:07:51	93600	----a-w-	C:\Windows\System32\drivers\pctplsg64.sys
2013-02-13 12:07:50	87968	----a-w-	C:\Windows\System32\drivers\pctplsm64.sys
2013-02-13 12:05:38	--------	d-----w-	C:\Program Files (x86)\PC Tools
2013-02-13 11:53:29	26400	----a-w-	C:\Windows\System32\authuitu.dll
2013-02-13 11:53:28	21792	----a-w-	C:\Windows\SysWow64\authuitu.dll
2013-02-13 11:53:23	37664	----a-w-	C:\Windows\System32\uxtuneup.dll
2013-02-13 11:53:23	29984	----a-w-	C:\Windows\SysWow64\uxtuneup.dll
2013-02-13 11:43:25	35104	----a-w-	C:\Windows\System32\TURegOpt.exe
2013-02-13 11:40:50	453896	----a-w-	C:\Windows\System32\drivers\pctDS64.sys
2013-02-13 11:40:50	1096176	----a-w-	C:\Windows\System32\drivers\pctEFA64.sys
2013-02-13 11:40:36	413448	----a-w-	C:\Windows\System32\drivers\PCTCore64.sys
2013-02-13 11:40:23	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\TuneUp Software
2013-02-13 11:40:20	253256	----a-w-	C:\Windows\System32\drivers\PCTSD64.sys
2013-02-13 11:40:14	--------	d-----w-	C:\Program Files (x86)\Common Files\PC Tools
2013-02-13 11:39:24	--------	d-----w-	C:\Program Files (x86)\TuneUp Utilities 2013
2013-02-13 11:38:12	--------	d-----w-	C:\ProgramData\TuneUp Software
2013-02-13 11:37:55	--------	d-----w-	C:\ProgramData\PC Tools
2013-02-13 11:37:45	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\TestApp
2013-02-13 11:37:41	--------	d-sh--w-	C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
2013-02-13 11:37:40	--------	d--h--w-	C:\ProgramData\Common Files
2013-02-13 10:58:42	--------	d-----w-	C:\ProgramData\SecTaskMan
2013-02-13 10:58:39	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\Malwarebytes
2013-02-13 10:58:36	--------	d-----w-	C:\Program Files (x86)\Security Task Manager
2013-02-13 10:58:01	--------	d-----w-	C:\ProgramData\Malwarebytes
2013-02-13 10:57:57	24176	----a-w-	C:\Windows\System32\drivers\mbam.sys
2013-02-13 10:57:57	--------	d-----w-	C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-02-13 10:57:49	--------	d-----w-	C:\Users\Hanna\AppData\Local\Programs
2013-02-13 10:51:32	--------	d-----w-	C:\ProgramData\{9BF4D58B-C6D6-467B-BC5A-FD0C1278F4AF}
2013-02-12 09:44:27	9161176	----a-w-	C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-02-11 10:55:11	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\DVDVideoSoftIEHelpers
2013-02-11 10:52:29	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\DVDVideoSoft
2013-02-11 10:52:29	--------	d-----w-	C:\Program Files (x86)\Common Files\DVDVideoSoft
2013-02-11 10:52:28	--------	d-----w-	C:\Program Files (x86)\DVDVideoSoft
2013-02-10 13:19:25	--------	d-----w-	C:\Program Files (x86)\Pidgin
2013-02-10 06:45:39	--------	d-----w-	C:\Users\Hanna\dwhelper
2013-02-09 09:23:13	--------	d-----w-	C:\Users\Hanna\AppData\Local\join.me
2013-02-09 09:02:24	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\Proxifier
2013-02-09 09:02:10	57448	----a-w-	C:\Windows\System32\PrxerNsp.dll
2013-02-09 09:02:10	11264	----a-w-	C:\Windows\SysWow64\SPORDER.DLL
2013-02-09 09:02:09	76392	----a-w-	C:\Windows\System32\PrxerDrv.dll
2013-02-09 09:02:09	70248	----a-w-	C:\Windows\SysWow64\PrxerDrv.dll
2013-02-09 09:02:09	56424	----a-w-	C:\Windows\SysWow64\PrxerNsp.dll
2013-02-09 09:02:08	91240	----a-w-	C:\Windows\SysWow64\ProxifierShellExt.dll
2013-02-09 09:02:08	103016	----a-w-	C:\Windows\System32\ProxifierShellExt.dll
2013-02-09 09:02:03	--------	d-----w-	C:\Program Files (x86)\Proxifier
2013-02-09 07:32:58	--------	d-----w-	C:\Users\Hanna\AppData\Local\Sony Online Entertainment
2013-02-08 21:10:50	--------	d-----r-	C:\Program Files (x86)\Skype
2013-02-08 15:33:41	--------	d-----w-	C:\Windows\SysWow64\Wat
2013-02-08 15:33:40	--------	d-----w-	C:\Windows\System32\Wat
2013-02-07 21:45:12	--------	d-----w-	C:\Program Files\TAP-Windows
2013-02-07 21:45:09	--------	d-----w-	C:\Program Files (x86)\OpenVPN
2013-02-07 18:58:34	--------	d-----w-	C:\Fraps
2013-02-06 14:40:35	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\ICQM
2013-02-06 14:40:20	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\ICQ-Profile
2013-02-06 10:45:27	--------	d-----w-	C:\Users\Hanna\AppData\Local\Your Freedom
2013-02-06 10:41:22	--------	d-----w-	C:\Program Files (x86)\Your Freedom
2013-01-24 14:08:23	--------	d-----w-	C:\Program Files (x86)\Microsoft Analysis Services
2013-01-24 14:08:10	--------	d-----w-	C:\Windows\SHELLNEW
2013-01-24 14:06:48	--------	d-----w-	C:\Users\Hanna\AppData\Local\Microsoft Help
2013-01-24 13:35:35	--------	d-----w-	C:\Program Files\VideoLAN
2013-01-15 19:33:08	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\Stykz Help
2013-01-15 19:32:58	--------	d-----w-	C:\Users\Hanna\AppData\Local\._LiveCode_
2013-01-15 19:32:41	--------	d-----w-	C:\Users\Hanna\AppData\Roaming\Stykz
2013-01-15 19:32:41	--------	d-----w-	C:\Program Files (x86)\Stykz
.
==================== Find3M  ====================
.
2013-02-09 21:51:25	74096	----a-w-	C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2013-02-09 21:51:25	697712	----a-w-	C:\Windows\SysWow64\FlashPlayerApp.exe
2013-01-30 10:53:22	273840	------w-	C:\Windows\System32\MpSigStub.exe
2012-12-16 17:11:22	46080	----a-w-	C:\Windows\System32\atmlib.dll
2012-12-16 14:45:03	367616	----a-w-	C:\Windows\System32\atmfd.dll
2012-12-16 14:13:28	295424	----a-w-	C:\Windows\SysWow64\atmfd.dll
2012-12-16 14:13:20	34304	----a-w-	C:\Windows\SysWow64\atmlib.dll
2012-12-07 13:20:16	441856	----a-w-	C:\Windows\System32\Wpc.dll
2012-12-07 13:15:31	2746368	----a-w-	C:\Windows\System32\gameux.dll
2012-12-07 12:26:17	308736	----a-w-	C:\Windows\SysWow64\Wpc.dll
2012-12-07 12:20:43	2576384	----a-w-	C:\Windows\SysWow64\gameux.dll
2012-12-07 11:20:04	30720	----a-w-	C:\Windows\System32\usk.rs
2012-12-07 11:20:03	43520	----a-w-	C:\Windows\System32\csrr.rs
2012-12-07 11:20:03	23552	----a-w-	C:\Windows\System32\oflc.rs
2012-12-07 11:20:01	45568	----a-w-	C:\Windows\System32\oflc-nz.rs
2012-12-07 11:20:01	44544	----a-w-	C:\Windows\System32\pegibbfc.rs
2012-12-07 11:20:01	20480	----a-w-	C:\Windows\System32\pegi-fi.rs
2012-12-07 11:20:00	20480	----a-w-	C:\Windows\System32\pegi-pt.rs
2012-12-07 11:19:59	20480	----a-w-	C:\Windows\System32\pegi.rs
2012-12-07 11:19:58	46592	----a-w-	C:\Windows\System32\fpb.rs
2012-12-07 11:19:57	40960	----a-w-	C:\Windows\System32\cob-au.rs
2012-12-07 11:19:57	21504	----a-w-	C:\Windows\System32\grb.rs
2012-12-07 11:19:57	15360	----a-w-	C:\Windows\System32\djctq.rs
2012-12-07 11:19:56	55296	----a-w-	C:\Windows\System32\cero.rs
2012-12-07 11:19:55	51712	----a-w-	C:\Windows\System32\esrb.rs
2012-12-03 18:37:17	152576	----a-w-	C:\Windows\SysWow64\msclmd.dll
2012-12-03 18:37:16	175616	----a-w-	C:\Windows\System32\msclmd.dll
2012-11-30 14:25:01	95208	----a-w-	C:\Windows\SysWow64\WindowsAccessBridge-32.dll
2012-11-30 14:24:57	821736	----a-w-	C:\Windows\SysWow64\npDeployJava1.dll
2012-11-30 14:24:57	746984	----a-w-	C:\Windows\SysWow64\deployJava1.dll
2012-11-30 05:45:35	362496	----a-w-	C:\Windows\System32\wow64win.dll
2012-11-30 05:45:35	243200	----a-w-	C:\Windows\System32\wow64.dll
2012-11-30 05:45:35	13312	----a-w-	C:\Windows\System32\wow64cpu.dll
2012-11-30 05:45:14	215040	----a-w-	C:\Windows\System32\winsrv.dll
2012-11-30 05:43:12	16384	----a-w-	C:\Windows\System32\ntvdm64.dll
2012-11-30 05:41:07	424448	----a-w-	C:\Windows\System32\KernelBase.dll
2012-11-30 04:54:00	5120	----a-w-	C:\Windows\SysWow64\wow32.dll
2012-11-30 04:53:59	274944	----a-w-	C:\Windows\SysWow64\KernelBase.dll
2012-11-30 03:23:48	338432	----a-w-	C:\Windows\System32\conhost.exe
2012-11-30 02:44:06	25600	----a-w-	C:\Windows\SysWow64\setup16.exe
2012-11-30 02:44:04	7680	----a-w-	C:\Windows\SysWow64\instnm.exe
2012-11-30 02:44:04	14336	----a-w-	C:\Windows\SysWow64\ntvdm64.dll
2012-11-30 02:44:03	2048	----a-w-	C:\Windows\SysWow64\user.exe
2012-11-30 02:38:59	6144	---ha-w-	C:\Windows\SysWow64\api-ms-win-security-base-l1-1-0.dll
2012-11-30 02:38:59	4608	---ha-w-	C:\Windows\SysWow64\api-ms-win-core-threadpool-l1-1-0.dll
2012-11-30 02:38:59	3584	---ha-w-	C:\Windows\SysWow64\api-ms-win-core-xstate-l1-1-0.dll
2012-11-30 02:38:59	3072	---ha-w-	C:\Windows\SysWow64\api-ms-win-core-util-l1-1-0.dll
2012-11-23 03:26:31	3149824	----a-w-	C:\Windows\System32\win32k.sys
2012-11-23 03:13:57	68608	----a-w-	C:\Windows\System32\taskhost.exe
2012-11-22 05:44:23	800768	----a-w-	C:\Windows\System32\usp10.dll
2012-11-22 04:45:03	626688	----a-w-	C:\Windows\SysWow64\usp10.dll
2012-11-20 05:48:49	307200	----a-w-	C:\Windows\System32\ncrypt.dll
2012-11-20 04:51:09	220160	----a-w-	C:\Windows\SysWow64\ncrypt.dll
.
============= FINISH: 18:26:03,78 ===============

Gmer:

Code:

ATTFilter

GMER 2.1.18952 - hxxp://www.gmer.net
Rootkit scan 2013-02-14 19:10:54
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\00000057 Hitachi_ rev.PB3O 298,09GB
Running: ct4e5t0q.exe; Driver: C:\Users\Hanna\AppData\Local\Temp\kwroypow.sys


---- User code sections - GMER 2.1 ----

.text   C:\Program Files (x86)\TuneUp Utilities 2013\OneClick.exe[4816] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                    0000000075642c91 4 bytes {CALL QWORD [RIP+0x21000a]}
.text   C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe[5608] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   00000000768a1465 2 bytes [8A, 76]
.text   C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\BDTUpdateService.exe[5608] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000768a14bb 2 bytes [8A, 76]
.text   ...                                                                                                                                        * 2
?       C:\Windows\system32\mssprxy.dll [5608] entry point in ".rdata" section                                                                     00000000744f71e6

---- Threads - GMER 2.1 ----

Thread  C:\Windows\System32\svchost.exe [276:2276]                                                                                                 000007fef78820c0
Thread  C:\Windows\System32\svchost.exe [276:2284]                                                                                                 000007fef78826a8
Thread  C:\Windows\System32\svchost.exe [276:2684]                                                                                                 000007fef92f44e0
Thread  C:\Windows\System32\svchost.exe [276:6156]                                                                                                 000007fef74fa2b0
Thread  C:\Windows\System32\svchost.exe [276:8304]                                                                                                 000007fef92fd190
Thread  C:\Windows\System32\svchost.exe [276:6028]                                                                                                 000007fef78829dc
Thread  C:\Windows\system32\WLANExt.exe [1168:1300]                                                                                                000007fefa362f9c
Thread  C:\Windows\System32\spoolsv.exe [1440:2264]                                                                                                000007fef78610c8
Thread  C:\Windows\System32\spoolsv.exe [1440:2312]                                                                                                000007fef74c6144
Thread  C:\Windows\System32\spoolsv.exe [1440:2328]                                                                                                000007fef7195fd0
Thread  C:\Windows\System32\spoolsv.exe [1440:2340]                                                                                                000007fef7163438
Thread  C:\Windows\System32\spoolsv.exe [1440:2348]                                                                                                000007fef71963ec
Thread  C:\Windows\System32\spoolsv.exe [1440:2428]                                                                                                000007fef7965e5c
Thread  C:\Windows\System32\spoolsv.exe [1440:2432]                                                                                                000007fef7a35074
Thread  C:\Windows\system32\svchost.exe [1524:3376]                                                                                                000007fef7195fd0
Thread  C:\Windows\system32\svchost.exe [1524:3388]                                                                                                000007fef71963ec
Thread  C:\Windows\system32\taskhost.exe [2640:2812]                                                                                               000007fefb011010
Thread  C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe [4696:4308]                                                        000007fef67acc10
Thread  C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe [4696:4488]                                                        000007fef666b564
Thread  C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe [4696:288]                                                         000007fef666b564
Thread  C:\Windows\system32\taskhost.exe [4452:5080]                                                                                               000007fef789ef24

---- Disk sectors - GMER 2.1 ----

Disk    \Device\Harddisk0\DR0                                                                                                                      unknown MBR code

---- EOF - GMER 2.1 ----

Mfg

aharonov · 14.02.2013, 21:01

Hey,

Zitat:

============== Running Processes ===============
C:\Program Files\Realtek\RtVOsd\RtVOsd.exe

Den würd ich jetzt mal nicht prioritär verdächtigen..

Seit wann sind denn die beschriebenen Symptome ungefähr da?

Hinweis: Mehrere AV-Hintergrundwächter

Mir ist aufgefallen, dass du mehr als ein Antivirus-Programm mit Hintergrundwächter laufen hast:

Microsoft Security Essentials

PC Tools Spyware Doctor with AntiVirus

Das ist gefährlich, da sich die verschiedenen Hintergrundwächter gegenseitig in die Quere kommen können und dadurch in ihrer Summe nicht mehr sondern weniger Schutz bieten. Ausserdem bremst das auch das System aus.

Entscheide dich für eines dieser Programme und deinstalliere die anderen über Start -> Systemsteuerung -> Programme und Funktionen (Vista & Win 7) bzw. Start -> Systemsteuerung -> Software (Win XP).
Ich würd den Spyware Doctor wieder entfernen.

Schritt 1

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.

Starte die aswMBR.exe.
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke dann auf Scan.
Warte bitte, bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere die Datei auf den Desktop.
Poste mir diese aswMBR.txt in deiner nächsten Antwort.
Ebenfalls auf dem Desktop wird eine Datei MBR.dat erstellt.
Packe diese Datei in ein zip-Archiv (Rechtsklick -> Senden an -> Zip-komprimierten Ordner) und hänge das zip-File hier an. (Anleitung zum Anhängen von Dateien)

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.

Bitte poste in deiner nächsten Antwort:

Log von aswMBR
zip-Archiv als Anhang

aharonov · 19.02.2013, 09:19

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

LetzFetzii · 19.02.2013, 21:14

Doch doch, war nur wenig am Laptop und als ich es laufen lassen habe ist es irgendwie abgestürzt, lasse es heute nacht wieder laufen in ruhe.

mfg

aharonov · 19.02.2013, 22:40

Ok, alles klar.

LetzFetzii · 23.02.2013, 13:16

Sorry dass ich mich erst jetzt wieder melde, war aber sehr wenig am Laptop...

Führe es gerade aus, danach poste ich es hier

!

aharonov · 23.02.2013, 13:41

Jep, kein Problem.

LetzFetzii · 23.02.2013, 14:05

alsoo hab es gerade 2x versucht, jedoch stürzt das Programm dauernd ab.

"AntiVir blabla funktioniert nicht mehr"

Ich kann es daraufhin immer nur schließen...

aharonov · 23.02.2013, 20:30

Dann versuch das:

Schritt 1

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.

Starte die TDSSKiller.exe.
Drücke Start Scan.
Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
Poste bitte den Inhalt dieses Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von TDSSKiller

aharonov · 03.03.2013, 19:41

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

aharonov · 05.03.2013, 17:54

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.

19.02.2013, 22:40	#7
aharonov /// TB-Ausbilder	Vermutlicher Trojaner/Rat/Stealer "RtVOsd.exe" oder ein anderes Programm (klicken im Hintergrund und cmd überträgt dateien ohne Auforderung) Ok, alles klar. __________________ cheers, Leo

23.02.2013, 13:41	#9
aharonov /// TB-Ausbilder	Vermutlicher Trojaner/Rat/Stealer "RtVOsd.exe" oder ein anderes Programm (klicken im Hintergrund und cmd überträgt dateien ohne Auforderung) Jep, kein Problem. __________________ cheers, Leo

Vermutlicher Trojaner/Rat/Stealer "RtVOsd.exe" oder ein anderes Programm (klicken im Hintergrund und cmd überträgt dateien ohne Auforderung)

Plagegeister aller Art und deren Bekämpfung: Vermutlicher Trojaner/Rat/Stealer "RtVOsd.exe" oder ein anderes Programm (klicken im Hintergrund und cmd überträgt dateien ohne Auforderung)