Dateien "verschwinden" nach Download vom PC-ist Trojan.dropper.win32.injector die Ursache?

Mobeil · 03.06.2013, 22:56

Liebes TB-Team,
ich bin euch sehr dankbar wenn ihr mir bei folgendem Problem helft:

Bisher habe ich an meinen Computer keine offensichtliche Störung bemerkt.
Ich nutze einen VPN Client der Firma Cisco und kann mich nun jedoch seit drei Tagen nicht mehr korrekt in mein Netz einwählen. Mir wurde mitgeteilt, dass ein Befall mit Malware häufig diese Art von Fehler verursacht.
Nachdem ich nun mein Antivirenprogramm aktualisiert und gedownloaded habe fiel mir auf, dass die gewünschten Dateien einfach nicht mehr da sind.
Sichtbarmachung versteckter Dateien und Dateinendungen ist im Windows Explorer aktiviert.
Beim Speichern auf ein externes Laufwerk wird die Datei komplett gedownloaded jedoch als .PART Datei hinterlassen und kann dann nicht korrekt geöffnet werden.

Habe mich durch euer Forum geklickt und mittels Kaspersky Rescue disc und TSSD Scanner
Trojan.dropper.win 32.injector.ezug gefunden und versucht zu löschen.
Danach mit TSSD und Antivir (aktualisiert) gescannt und kein weitere Schadsoftware gefunden.

Datein jeder Art verschwinden jedoch weitherhin nach erfolgreichem Download von meinen Rechner.

Hab Log Dateien nach der Anleitung erstellt.
Beim Scan mit GMER stürzte der PC mehrfach ab mit verschiedenen Fehlermeldungen:
Fehler bei "driver_irql_not_less_or_equal" oder "APC_index_mismatch" oder aber einfach blue sreen mit Neustart. Log Datei wurde davon keine erstellt.

Hier die Log Dateien:
defogger log:

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:14 on 03/06/2013 (Mustermann)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

OTL Txt:

Code:

ATTFilter

OTL logfile created on: 03.06.2013 22:16:25 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = F:\Trojaner\Anfoderung für TB
Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18882)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,94 Gb Total Physical Memory | 1,23 Gb Available Physical Memory | 63,65% Memory free
4,08 Gb Paging File | 3,24 Gb Available in Paging File | 79,51% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 67,07 Gb Total Space | 3,35 Gb Free Space | 4,99% Space Free | Partition Type: NTFS
Drive D: | 39,83 Gb Total Space | 6,32 Gb Free Space | 15,85% Space Free | Partition Type: NTFS
Drive F: | 1,88 Gb Total Space | 1,56 Gb Free Space | 82,66% Space Free | Partition Type: FAT
 
Computer Name: LAPTOP-MUSTERMANN | User Name: MUSTERMANN | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.06.03 22:11:16 | 000,602,112 | ---- | M] (OldTimer Tools) -- F:\Trojaner\Anfoderung für TB\OTL.exe
PRC - [2013.06.03 20:10:10 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2013.06.03 20:08:17 | 000,079,584 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2013.06.03 20:07:57 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.06.03 20:07:54 | 000,345,312 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.03.12 09:05:50 | 029,106,336 | ---- | M] (Dropbox, Inc.) -- C:\Users\MUSTERMANN\AppData\Roaming\Dropbox\bin\Dropbox.exe
PRC - [2013.01.24 09:33:44 | 000,701,872 | ---- | M] (Cisco Systems, Inc.) -- C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe
PRC - [2013.01.24 09:33:24 | 000,544,688 | ---- | M] (Cisco Systems, Inc.) -- C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
PRC - [2012.02.28 10:30:04 | 000,825,344 | ---- | M] (Repkasoft) -- C:\Program Files\YoWindow\yowindow.exe
PRC - [2008.10.29 08:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2006.12.01 07:36:59 | 004,186,112 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2006.11.02 11:44:59 | 000,068,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe
PRC - [2006.09.11 12:31:35 | 000,208,896 | ---- | M] (ALPS) -- C:\Program Files\Apoint2K\Apvfb.exe
PRC - [2006.09.08 09:10:21 | 000,040,960 | ---- | M] (Alps Electric Co., Ltd.) -- C:\Program Files\Apoint2K\HidFind.exe
PRC - [2006.09.07 06:31:45 | 000,024,576 | ---- | M] (Syntek America Inc.) -- C:\Windows\System32\StkSrv.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.01.24 09:34:14 | 000,063,408 | ---- | M] () -- C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\zlib1.dll
MOD - [2008.09.16 20:18:06 | 000,132,608 | ---- | M] () -- C:\Program Files\WinRAR\rarext.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService)
SRV - [2013.06.03 20:10:10 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.06.03 20:07:57 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.01.24 09:33:24 | 000,544,688 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe -- (vpnagent)
SRV - [2012.05.03 21:54:52 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2006.09.07 06:31:45 | 000,024,576 | ---- | M] (Syntek America Inc.) [Auto | Running] -- C:\Windows\System32\StkSrv.exe -- (StkSSrv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2013.06.03 20:11:47 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2013.06.03 20:11:47 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2013.06.03 20:11:47 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2013.06.03 20:11:47 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2013.01.24 09:15:56 | 000,023,976 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vpnva.sys -- (vpnva)
DRV - [2013.01.24 09:13:56 | 000,058,320 | R--- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\acsmux.sys -- (acsmux)
DRV - [2013.01.24 09:13:56 | 000,039,888 | R--- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\acsint.sys -- (acsint)
DRV - [2011.11.04 15:59:46 | 000,039,016 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\tbhsd.sys -- (tbhsd)
DRV - [2011.11.04 15:59:41 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rrnetcap.sys -- (RRNetCapMP)
DRV - [2011.11.04 15:59:41 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rrnetcap.sys -- (RRNetCap)
DRV - [2009.06.29 18:59:02 | 000,112,128 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2009.06.29 18:59:02 | 000,102,912 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbfake.sys -- (hwusbfake)
DRV - [2009.04.09 14:38:26 | 000,102,784 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2008.11.16 18:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\dne2000.sys -- (DNE)
DRV - [2007.01.18 20:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2006.12.22 00:31:30 | 000,509,440 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2006.12.19 07:37:59 | 004,447,808 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2006.12.14 09:11:57 | 000,007,680 | ---- | M] (ATK0100) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ATKACPI.sys -- (MTsensor)
DRV - [2006.11.14 18:16:23 | 000,032,256 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2006.11.14 13:42:45 | 000,043,520 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2006.11.10 13:12:57 | 000,669,568 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\StkCMini.sys -- (StkCMini)
DRV - [2006.11.02 09:41:49 | 001,010,560 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\smserial.sys -- (smserial)
DRV - [2006.11.02 09:30:56 | 000,429,056 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvm60x32.sys -- (NVENETFD)
DRV - [2006.11.02 09:30:56 | 000,047,104 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2006.11.02 09:30:54 | 001,781,760 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\NETw3v32.sys -- (NETw3v32)
DRV - [2006.08.30 03:35:57 | 000,140,800 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Apfiltr.sys -- (ApfiltrService)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\SearchScopes,DefaultScope = {438B8E72-FD85-439F-9A6C-075D600546D9}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{438B8E72-FD85-439F-9A6C-075D600546D9}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://google.com"
FF - prefs.js..extensions.enabledItems: {8AA36F4F-6DC7-4c06-77AF-5035170634FE}:2010.01.21
FF - prefs.js..extensions.enabledItems: {02450954-cdd9-410f-b1da-db804e18c671}:0.96.3
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: C:\Program Files\Picasa2\npPicasa2.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Picasa2\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ff-bmboc@bytemobile.com: C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\addon\ [2010.03.18 08:31:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.05.03 21:54:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013.06.03 20:42:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.0.11\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.09.25 20:16:45 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.0.11\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2010.01.26 01:21:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lars\AppData\Roaming\mozilla\Extensions
[2010.01.26 01:21:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lars\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2013.05.20 20:18:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lars\AppData\Roaming\mozilla\Firefox\Profiles\32x5c3ii.default\extensions
[2011.02.21 18:16:09 | 000,000,000 | ---D | M] (Screengrab) -- C:\Users\Lars\AppData\Roaming\mozilla\Firefox\Profiles\32x5c3ii.default\extensions\{02450954-cdd9-410f-b1da-db804e18c671}
[2008.12.11 23:09:53 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\Lars\AppData\Roaming\mozilla\Firefox\Profiles\32x5c3ii.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2009.07.08 09:24:59 | 000,002,314 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\mozilla\firefox\profiles\32x5c3ii.default\searchplugins\forestle-de.xml
[2008.12.15 16:13:07 | 000,001,196 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\mozilla\firefox\profiles\32x5c3ii.default\searchplugins\winamp-search.xml
[2012.01.20 15:19:24 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions
[2007.06.28 17:53:07 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Program Files\mozilla firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.01.27 10:28:43 | 000,000,000 | ---D | M] ("Citavi Picker") -- C:\Program Files\mozilla firefox\extensions\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}
[2011.05.25 10:12:37 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2012.05.03 21:54:52 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2010.07.20 17:21:40 | 000,106,192 | ---- | M] ( ) -- C:\Program Files\mozilla firefox\plugins\npstrlnk.dll
[2012.02.13 23:37:07 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.13 23:37:07 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.02.13 23:37:07 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.13 23:37:07 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.13 23:37:07 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.13 23:37:07 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}
CHR - homepage: 
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\26.0.1410.64\PepperFlash\pepflashplayer.dll
CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\26.0.1410.64\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\26.0.1410.64\pdf.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: Java(TM) Platform SE 6 U13 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Java(TM) Platform SE 6 U13 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
CHR - plugin: Microsoft Office 2003 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll
CHR - plugin: NapsterLink (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npstrlnk.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Updater (Enabled) = C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll
CHR - plugin: Picasa (Enabled) = C:\Program Files\Picasa2\npPicasa2.dll
CHR - plugin: Picasa (Enabled) = C:\Program Files\Picasa2\npPicasa3.dll
CHR - plugin: Shockwave for Director (Enabled) = C:\Windows\system32\Adobe\Director\np32dsw.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - Extension: YouTube = C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (Google Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (Cisco Systems, Inc.)
O4 - HKLM..\Run: [Fences] C:\Program Files\Stardock\Fences\Fences.exe (Stardock Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - Startup: C:\Users\MUSTERMANN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Lars\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Users\MUSTERMANN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YoWindow.lnk = C:\Program Files\YoWindow\yowindow.exe (Repkasoft)
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{45618544-CB27-43C1-A8D7-DF0D7370B134}: DhcpNameServer = 139.7.30.126 139.7.30.125
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{80115F06-64D9-4FEF-83A9-1A669BC48385}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{EDE0C2F9-9E67-4A09-A152-116CB44C72AD}: DhcpNameServer = 139.7.30.126 139.7.30.125
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O22 - SharedTaskScheduler: {1984DD45-52CF-49cd-AB77-18F378FEA264} - FencesShellExt - C:\Program Files\Stardock\Fences\FencesMenu.dll (Stardock)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img20.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img20.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - Unable to obtain root file information for disk F:\
O33 - MountPoints2\{1512d8d9-1581-11df-947c-001a92b087a6}\Shell\AutoRun\command - "" = F:\wd_windows_tools\setup.exe
O33 - MountPoints2\{2cedfdde-757b-11dc-8d44-001a92b087a6}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe -- [2011.02.08 09:22:54 | 000,047,616 | RHS- | M] ()
O33 - MountPoints2\{2cedfdde-757b-11dc-8d44-001a92b087a6}\Shell\explore\Command - "" = F:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe -- [2011.02.08 09:22:54 | 000,047,616 | RHS- | M] ()
O33 - MountPoints2\{2cedfdde-757b-11dc-8d44-001a92b087a6}\Shell\open\command - "" = F:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe -- [2011.02.08 09:22:54 | 000,047,616 | RHS- | M] ()
O33 - MountPoints2\{53280f24-3257-11df-bfab-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{53280f24-3257-11df-bfab-001a92b087a6}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{53280f43-3257-11df-bfab-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{53280f43-3257-11df-bfab-001a92b087a6}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{6750d2d1-3357-11df-8a17-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{6750d2d1-3357-11df-8a17-001a92b087a6}\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{7402f8f9-26f9-11dc-82dd-001a92b087a6}\Shell\AutoRun\command - "" = I:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
O33 - MountPoints2\{7402f8f9-26f9-11dc-82dd-001a92b087a6}\Shell\explore\Command - "" = I:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
O33 - MountPoints2\{7402f8f9-26f9-11dc-82dd-001a92b087a6}\Shell\open\command - "" = I:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
O33 - MountPoints2\{7402f8fc-26f9-11dc-82dd-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{7402f8fc-26f9-11dc-82dd-001a92b087a6}\Shell\AutoRun\command - "" = F:\LaunchU3.exe
O33 - MountPoints2\{765b8381-60ad-11dd-acba-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{765b8381-60ad-11dd-acba-001a92b087a6}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{7f060b75-775c-11de-bce2-001a92b087a6}\Shell\AutoRun\command - "" = windows\usbv.exe
O33 - MountPoints2\{7f060b75-775c-11de-bce2-001a92b087a6}\Shell\open\command - "" = windows\usbv.exe
O33 - MountPoints2\{a7f0f0f3-e767-11de-bd45-001a92b087a6}\Shell\AutoRun\command - "" = F:\Menu.exe
O33 - MountPoints2\{dfdda188-feb1-11dd-ad95-001a92b087a6}\Shell\AutoRun\command - "" = WDSetup.exe
O33 - MountPoints2\F\Shell\AutoRun\command - "" = WDSetup.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.06.03 21:55:43 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Local\Stardock_Corporation
[2013.06.03 21:55:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Stardock
[2013.06.03 21:54:48 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Roaming\Stardock
[2013.06.03 21:54:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stardock
[2013.06.03 21:54:44 | 000,000,000 | ---D | C] -- C:\Program Files\Stardock
[2013.06.03 20:18:51 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Roaming\Avira
[2013.06.03 20:14:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2013.06.03 20:13:45 | 000,135,136 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2013.06.03 20:13:45 | 000,037,352 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.06.03 20:13:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013.06.03 19:42:00 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Roaming\Malwarebytes
[2013.06.03 19:41:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.06.03 12:27:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Canneverbe Limited
[2013.06.03 12:27:18 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Roaming\Canneverbe Limited
[2013.06.03 12:25:29 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
 
========== Files - Modified Within 30 Days ==========
 
[2013.06.03 22:14:27 | 000,000,000 | ---- | M] () -- C:\Users\Lars\defogger_reenable
[2013.06.03 21:59:35 | 000,641,344 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.06.03 21:59:35 | 000,610,142 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.06.03 21:59:35 | 000,116,706 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.06.03 21:59:35 | 000,103,924 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.06.03 21:55:02 | 000,042,174 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\nvModes.001
[2013.06.03 21:54:59 | 000,001,814 | ---- | M] () -- C:\Users\Lars\Desktop\Customize Fences.lnk
[2013.06.03 21:53:32 | 000,042,174 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\nvModes.dat
[2013.06.03 21:52:19 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013.06.03 21:52:18 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013.06.03 21:52:12 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.06.03 21:42:10 | 000,001,356 | ---- | M] () -- C:\Users\Lars\AppData\Local\d3d9caps.dat
[2013.06.03 20:42:40 | 000,001,894 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[2013.06.03 20:14:16 | 000,001,854 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.06.03 20:11:47 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2013.06.03 20:11:47 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2013.06.03 20:11:47 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.06.03 20:11:47 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2013.06.03 13:24:00 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2013.06.03 10:59:43 | 000,045,056 | ---- | M] () -- C:\Windows\System32\acovcnt.exe
[2013.06.03 10:03:57 | 000,000,416 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{E75C0192-2285-45EC-BD89-410605581C1A}.job
[2013.05.27 10:32:35 | 000,000,069 | ---- | M] () -- C:\Windows\NeroDigital.ini
 
========== Files Created - No Company Name ==========
 
[2013.06.03 22:14:27 | 000,000,000 | ---- | C] () -- C:\Users\Lars\defogger_reenable
[2013.06.03 21:54:59 | 000,001,814 | ---- | C] () -- C:\Users\Lars\Desktop\Customize Fences.lnk
[2013.06.03 20:42:40 | 000,001,894 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[2013.06.03 20:14:16 | 000,001,854 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.05.02 15:07:50 | 004,246,016 | ---- | C] () -- C:\Program Files\anyconnect-win-3.1.02040-pre-deploy-k9.msi
[2013.01.01 20:45:06 | 000,000,127 | ---- | C] () -- C:\Windows\System32\MRT.INI
[2011.04.19 20:54:44 | 000,001,356 | ---- | C] () -- C:\Users\Lars\AppData\Local\d3d9caps.dat
[2010.09.27 17:35:37 | 000,000,072 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\psppirerc
[2009.11.10 14:04:07 | 000,004,096 | -H-- | C] () -- C:\Users\Lars\AppData\Local\keyfile3.drm
[2009.06.16 14:25:02 | 000,121,512 | R--- | C] () -- C:\ProgramData\DeviceManager.xml.rc4
[2009.05.08 09:39:46 | 000,000,410 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\Poladroid prefs.plist
[2008.02.21 19:05:22 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2007.10.05 21:41:27 | 000,001,210 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\mdb.bin
[2007.06.30 15:07:18 | 000,024,206 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\UserTile.png
[2007.06.28 19:42:12 | 000,042,174 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\nvModes.001
[2007.06.28 19:42:11 | 000,042,174 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\nvModes.dat
[2007.06.28 16:53:14 | 000,209,408 | ---- | C] () -- C:\Users\Lars\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006.11.02 14:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = C:\$Recycle.Bin\S-1-5-21-3684105093-732391033-1714160640-1000\$47f186bbb2dba2d2414c9c49f039b5c5\n.
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2008.11.06 14:57:06 | 011,315,712 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = fastprox.dll -- [2009.03.03 06:16:12 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2006.11.02 11:46:13 | 000,348,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2009.11.17 19:52:38 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Academic Software Zurich
[2011.02.13 22:16:13 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Buhl Data Service
[2010.03.18 08:32:27 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Bytemobile
[2013.06.03 12:27:18 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Canneverbe Limited
[2010.08.01 22:38:58 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Canon
[2012.07.08 18:31:50 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\com.Rhapsody.Napster5
[2013.06.03 21:53:08 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Dropbox
[2010.09.27 16:20:05 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\gtk-2.0
[2007.06.30 23:13:52 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Leadertech
[2009.10.23 00:19:04 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\LimeWire
[2011.05.11 10:28:01 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\LyX2.0
[2009.06.18 23:21:30 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Mp3tag
[2011.01.07 10:03:24 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\NCH Swift Sound
[2009.04.08 10:33:24 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\OpenOffice.org
[2007.10.31 21:10:25 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\PeerNetworking
[2013.06.03 21:54:48 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Stardock
[2011.11.05 12:32:28 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\streamripper
[2009.12.10 09:33:12 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Sync App Settings
[2012.05.29 23:10:45 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\TeamViewer
[2010.01.26 01:21:03 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Thunderbird
[2010.03.18 08:32:27 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Vodafone
[2010.03.19 15:04:12 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Vodafone Mobile Connect
[2012.03.03 23:33:45 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\YoWindow
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:DFC5A2B2

< End of report >

Extras Log Datei im Anhang.
Wie schon geschrieben bin ich Euch für Eure Hilfe sehr dankbar, da ich mit meinen Wissen bis zu diesem Punkt nicht mehr weiterkomme.
Bestellungen, Banking usw. traue ich mir aktuell mit dem infizierten PC auch nicht mehr.

Ich freu mich auf eine Antwort!

Viele Grüße,
Mobeil

aharonov · 03.06.2013, 23:06

Hallo Mobeil und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eins vorneweg: Ich kann dir keine Garantien geben, dass ich alles finden werde. Bei schwerwiegenden Infektionen ist ein Formatieren und Neuinstallieren meist der schnellere und immer der sicherere Weg.
Wenn du dich für eine Bereinigung entscheidest, dann sollten wir gründlich vorgehen. Bleib also dran, bis ich dir eindeutig mitteile, dass wir fertig sind.
Auch wenn die auffälligen Symptome schon früh verschwinden, bedeutet das nicht, dass dein Rechner dann schon sauber und sicher ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles erst zum Schluss gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert:
- Lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- Installiere oder deinstalliere während der Bereinigung keine Software.

Los geht's:

Zitat:

Habe mich durch euer Forum geklickt und mittels Kaspersky Rescue disc und TSSD Scanner
Trojan.dropper.win 32.injector.ezug gefunden und versucht zu löschen.

Kannst du mir bitte noch die Logdatei dazu posten, welche diesen Fund dokumentiert?

Zitat:

Bestellungen, Banking usw. traue ich mir aktuell mit dem infizierten PC auch nicht mehr.

Ja, das lass besser bleiben im Moment, dieser Rechner ist eindeutig infiziert.

Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere es auf den Desktop.

Starte die FRST.exe.
Ändere keine der Voreinstellungen und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden zwei Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

bereits bestehende Logs mit Funden
Logs von FRST

Mobeil · 03.06.2013, 23:26

Hallo Leo,
bin begeistert über die schnelle Antwort!
bzgl. Logdatei des Kaspersky rescue disc Scans:
kannst du mir bitte einen Tipp geben ob und wie ich diese Logs im System jetzt noch finden kann?
Logs von FRST:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-06-2013 02
Ran by Lars (administrator) on 04-06-2013 00:14:54
Running from F:\Trojaner
Windows Vista (TM) Home Premium (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Realtek Semiconductor) C:\Windows\RtHDVCpl.exe
(Alps Electric Co., Ltd.) C:\Program Files\Apoint2K\Apoint.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(Dropbox, Inc.) C:\Users\Lars\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Repkasoft) C:\Program Files\YoWindow\yowindow.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Syntek America Inc.) C:\Windows\System32\StkSrv.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Alps Electric Co., Ltd.) C:\Program Files\Apoint2K\HidFind.exe
(Alps Electric Co., Ltd.) C:\Program Files\Apoint2K\Apntex.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
(ALPS) C:\Program Files\Apoint2K\Apvfb.exe
(Microsoft Corporation) C:\Program Files\Windows Media Player\WMPNSCFG.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart [90191 2006-12-19] (NVIDIA Corporation)
HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [7766016 2006-12-19] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [81920 2006-12-19] (NVIDIA Corporation)
HKLM\...\Run: [RtHDVCpl] RtHDVCpl.exe [x]
HKLM\...\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe [155648 2006-09-12] (Alps Electric Co., Ltd.)
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2011-07-05] (Apple Inc.)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [41056 2013-05-08] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] "C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized [701872 2013-01-24] (Cisco Systems, Inc.)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345312 2013-06-03] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [Fences] "C:\Program Files\Stardock\Fences\Fences.exe" /startup [3996848 2013-03-21] (Stardock Corporation)
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] fastprox.dll ATTENTION! ====> ZeroAccess
HKCU\...\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun [1232896 2008-01-10] (Microsoft Corporation)
HKCU\...\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe [125440 2006-11-02] (Microsoft Corporation)
HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-3684105093-732391033-1714160640-1000\$47f186bbb2dba2d2414c9c49f039b5c5\n. ATTENTION! ====> ZeroAccess
MountPoints2: F - WDSetup.exe
MountPoints2: {1512d8d9-1581-11df-947c-001a92b087a6} - F:\wd_windows_tools\setup.exe
MountPoints2: {2cedfdde-757b-11dc-8d44-001a92b087a6} - F:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
MountPoints2: {53280f24-3257-11df-bfab-001a92b087a6} - F:\setup_vmc_lite.exe /checkApplicationPresence
MountPoints2: {53280f43-3257-11df-bfab-001a92b087a6} - F:\setup_vmc_lite.exe /checkApplicationPresence
MountPoints2: {6750d2d1-3357-11df-8a17-001a92b087a6} - G:\setup_vmc_lite.exe /checkApplicationPresence
MountPoints2: {7402f8f9-26f9-11dc-82dd-001a92b087a6} - I:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
MountPoints2: {7402f8fc-26f9-11dc-82dd-001a92b087a6} - F:\LaunchU3.exe
MountPoints2: {765b8381-60ad-11dd-acba-001a92b087a6} - F:\LaunchU3.exe -a
MountPoints2: {7f060b75-775c-11de-bce2-001a92b087a6} - windows\usbv.exe
MountPoints2: {a7f0f0f3-e767-11de-bd45-001a92b087a6} - F:\Menu.exe
MountPoints2: {dfdda188-feb1-11dd-ad95-001a92b087a6} - WDSetup.exe
Startup: C:\Users\Lars\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Lars\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Lars\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YoWindow.lnk
ShortcutTarget: YoWindow.lnk -> C:\Program Files\YoWindow\yowindow.exe (Repkasoft)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKLM SearchScopes: DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
HKCU SearchScopes: DefaultScope {438B8E72-FD85-439F-9A6C-075D600546D9} URL = hxxp://www.google.de/search?q={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
SearchScopes: HKCU - {438B8E72-FD85-439F-9A6C-075D600546D9} URL = hxxp://www.google.de/search?q={searchTerms}
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (Google Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
PDF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
PDF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
PDF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
PDF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
Winsock: Catalog5 08 C:\Program Files\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.)
Winsock: Catalog9 01 bmnet.dll [94208] (Apple Computer, Inc.)
Winsock: Catalog9 02 bmnet.dll [94208] (Apple Computer, Inc.)
Winsock: Catalog9 03 bmnet.dll [94208] (Apple Computer, Inc.)
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\32x5c3ii.default
FF Homepage: hxxp://google.com
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF Plugin: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF Plugin: @google.com/npPicasa2,version=2.0.0 - C:\Program Files\Picasa2\npPicasa2.dll (Google, Inc.)
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Picasa2\npPicasa3.dll (Google, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @pack.google.com/Google Updater;version=14 - C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Extension: Screengrab - C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\32x5c3ii.default\Extensions\{02450954-cdd9-410f-b1da-db804e18c671}
FF Extension: Google Toolbar for Firefox - C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\32x5c3ii.default\Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}

Chrome: 
=======
CHR DefaultSearchURL: (Google) - {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}
CHR DefaultSuggestURL: (Google) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\26.0.1410.64\PepperFlash\pepflashplayer.dll No File
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\26.0.1410.64\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\26.0.1410.64\pdf.dll No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (Java(TM) Platform SE 6 U13) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
CHR Plugin: (Java(TM) Platform SE 6 U13) - C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll (Sun Microsystems, Inc.)
CHR Plugin: (Microsoft Office 2003) - C:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL (Microsoft Corporation)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll (Apple Inc.)
CHR Plugin: (NapsterLink) - C:\Program Files\Mozilla Firefox\plugins\npstrlnk.dll ( )
CHR Plugin: (Google Earth Plugin) - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll No File
CHR Plugin: (Google Updater) - C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll No File
CHR Plugin: (Silverlight Plug-In) - C:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll No File
CHR Plugin: (Picasa) - C:\Program Files\Picasa2\npPicasa2.dll (Google, Inc.)
CHR Plugin: (Picasa) - C:\Program Files\Picasa2\npPicasa3.dll (Google, Inc.)
CHR Plugin: (Shockwave for Director) - C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll No File
CHR Plugin: (Windows Presentation Foundation) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
CHR Extension: (YouTube) - C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86752 2013-06-03] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110816 2013-06-03] (Avira Operations GmbH & Co. KG)
R2 StkSSrv; C:\Windows\System32\StkSrv.exe [24576 2006-09-07] (Syntek America Inc.)
R2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [544688 2013-01-24] (Cisco Systems, Inc.)
S2 CLTNetCnService; "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon [x]
S3 msiserver; %systemroot%\system32\msiexec /V [x]

==================== Drivers (Whitelisted) ====================

S3 acsint; C:\Windows\System32\DRIVERS\acsint.sys [39888 2013-01-24] (Cisco Systems, Inc.)
S3 acsmux; C:\Windows\System32\DRIVERS\acsmux.sys [58320 2013-01-24] (Cisco Systems, Inc.)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-06-03] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-06-03] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-06-03] (Avira Operations GmbH & Co. KG)
S3 CVirtA; C:\Windows\System32\DRIVERS\CVirtA.sys [5275 2007-01-18] (Cisco Systems, Inc.)
S4 DNE; C:\Windows\System32\DRIVERS\dne2000.sys [131984 2008-11-16] (Deterministic Networks, Inc.)
S3 hwusbfake; C:\Windows\System32\DRIVERS\ewusbfake.sys [102912 2009-06-29] (Huawei Technologies Co., Ltd.)
R3 MTsensor; C:\Windows\System32\DRIVERS\ATKACPI.sys [7680 2006-12-14] (ATK0100)
S3 RRNetCap; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2011-11-04] (RapidSolution Software AG)
R3 RRNetCapMP; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2011-11-04] (RapidSolution Software AG)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-06-03] (Avira GmbH)
S3 StkCMini; C:\Windows\System32\DRIVERS\StkCMini.sys [669568 2006-11-10] ()
R3 tbhsd; C:\Windows\System32\drivers\tbhsd.sys [39016 2011-11-04] (RapidSolution Software AG)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-04 00:14 - 2013-06-04 00:14 - 00000000 ____D C:\FRST
2013-06-03 23:10 - 2013-06-03 23:10 - 00138960 ____A C:\Windows\Minidump\Mini060313-01.dmp
2013-06-03 22:14 - 2013-06-03 22:14 - 00000000 ____A C:\Users\Lars\defogger_reenable
2013-06-03 21:55 - 2013-06-03 21:55 - 00000000 ____D C:\Users\Lars\AppData\Local\Stardock_Corporation
2013-06-03 21:55 - 2013-06-03 21:55 - 00000000 ____D C:\ProgramData\Stardock
2013-06-03 21:54 - 2013-06-03 21:54 - 00001814 ____A C:\Users\Lars\Desktop\Customize Fences.lnk
2013-06-03 21:54 - 2013-06-03 21:54 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Stardock
2013-06-03 21:54 - 2013-06-03 21:54 - 00000000 ____D C:\Program Files\Stardock
2013-06-03 20:42 - 2013-06-03 20:42 - 00001894 ____A C:\Users\Public\Desktop\Adobe Reader 9.lnk
2013-06-03 20:18 - 2013-06-03 20:18 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Avira
2013-06-03 20:14 - 2013-06-03 20:14 - 00001854 ____A C:\Users\Public\Desktop\Avira Control Center.lnk
2013-06-03 20:13 - 2013-06-03 20:13 - 00000000 ____D C:\ProgramData\Avira
2013-06-03 20:13 - 2013-06-03 20:11 - 00135136 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-06-03 20:13 - 2013-06-03 20:11 - 00037352 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-06-03 19:42 - 2013-06-03 19:42 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Malwarebytes
2013-06-03 19:41 - 2013-06-03 19:41 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-06-03 12:27 - 2013-06-03 12:27 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Canneverbe Limited
2013-06-03 12:27 - 2013-06-03 12:27 - 00000000 ____D C:\ProgramData\Canneverbe Limited
2013-06-03 12:25 - 2013-06-03 12:25 - 00000000 ____D C:\TDSSKiller_Quarantine
2013-06-03 11:04 - 2013-06-03 19:28 - 00000000 ____D C:\Users\Lars\Downloads\Antivir

==================== One Month Modified Files and Folders ========

2013-06-04 00:14 - 2013-06-04 00:14 - 00000000 ____D C:\FRST
2013-06-03 23:23 - 2006-11-02 12:33 - 01461736 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-03 23:22 - 2007-03-05 02:59 - 01742873 ____A C:\Windows\WindowsUpdate.log
2013-06-03 23:18 - 2011-08-21 23:12 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Dropbox
2013-06-03 23:18 - 2007-06-28 19:42 - 00042174 ____A C:\Users\Lars\AppData\Roaming\nvModes.dat
2013-06-03 23:18 - 2007-06-28 19:42 - 00042174 ____A C:\Users\Lars\AppData\Roaming\nvModes.001
2013-06-03 23:17 - 2012-10-29 21:07 - 00000000 ___RD C:\Users\Lars\Dropbox
2013-06-03 23:16 - 2006-11-02 15:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-03 23:16 - 2006-11-02 14:47 - 00003072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-03 23:16 - 2006-11-02 14:47 - 00003072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-03 23:10 - 2013-06-03 23:10 - 00138960 ____A C:\Windows\Minidump\Mini060313-01.dmp
2013-06-03 23:10 - 2012-01-20 13:58 - 254068966 ____A C:\Windows\MEMORY.DMP
2013-06-03 23:10 - 2012-01-20 13:58 - 00000000 ____D C:\Windows\Minidump
2013-06-03 22:45 - 2006-11-02 15:01 - 00032620 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-06-03 22:14 - 2013-06-03 22:14 - 00000000 ____A C:\Users\Lars\defogger_reenable
2013-06-03 22:14 - 2007-06-28 16:16 - 00000000 ____D C:\users\Lars
2013-06-03 22:03 - 2007-09-10 19:10 - 00000000 ____D C:\Program Files\Google
2013-06-03 21:55 - 2013-06-03 21:55 - 00000000 ____D C:\Users\Lars\AppData\Local\Stardock_Corporation
2013-06-03 21:55 - 2013-06-03 21:55 - 00000000 ____D C:\ProgramData\Stardock
2013-06-03 21:54 - 2013-06-03 21:54 - 00001814 ____A C:\Users\Lars\Desktop\Customize Fences.lnk
2013-06-03 21:54 - 2013-06-03 21:54 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Stardock
2013-06-03 21:54 - 2013-06-03 21:54 - 00000000 ____D C:\Program Files\Stardock
2013-06-03 21:47 - 2008-02-11 20:01 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2013-06-03 21:42 - 2011-04-19 20:54 - 00001356 ____A C:\Users\Lars\AppData\Local\d3d9caps.dat
2013-06-03 20:46 - 2007-06-29 08:04 - 00164954 ____A C:\Windows\PFRO.log
2013-06-03 20:42 - 2013-06-03 20:42 - 00001894 ____A C:\Users\Public\Desktop\Adobe Reader 9.lnk
2013-06-03 20:18 - 2013-06-03 20:18 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Avira
2013-06-03 20:14 - 2013-06-03 20:14 - 00001854 ____A C:\Users\Public\Desktop\Avira Control Center.lnk
2013-06-03 20:13 - 2013-06-03 20:13 - 00000000 ____D C:\ProgramData\Avira
2013-06-03 20:13 - 2008-02-21 19:02 - 00000000 ____D C:\Program Files\Avira
2013-06-03 20:11 - 2013-06-03 20:13 - 00135136 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-06-03 20:11 - 2013-06-03 20:13 - 00037352 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-06-03 20:11 - 2009-07-20 12:14 - 00084744 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys
2013-06-03 20:11 - 2008-02-21 19:02 - 00028520 ____A (Avira GmbH) C:\Windows\System32\Drivers\ssmdrv.sys
2013-06-03 19:42 - 2013-06-03 19:42 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Malwarebytes
2013-06-03 19:41 - 2013-06-03 19:41 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-06-03 19:28 - 2013-06-03 11:04 - 00000000 ____D C:\Users\Lars\Downloads\Antivir
2013-06-03 13:31 - 2009-01-19 15:59 - 00000000 ____D C:\Program Files\Common Files\LightScribe
2013-06-03 13:31 - 2008-11-22 20:15 - 00000000 ____D C:\Program Files\Bonjour
2013-06-03 13:24 - 2009-03-24 20:38 - 00001052 ____A C:\Windows\Tasks\Google Software Updater.job
2013-06-03 12:27 - 2013-06-03 12:27 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Canneverbe Limited
2013-06-03 12:27 - 2013-06-03 12:27 - 00000000 ____D C:\ProgramData\Canneverbe Limited
2013-06-03 12:25 - 2013-06-03 12:25 - 00000000 ____D C:\TDSSKiller_Quarantine
2013-06-03 10:59 - 2007-06-28 20:47 - 00045056 ____A C:\Windows\System32\acovcnt.exe
2013-06-03 10:03 - 2007-06-28 16:20 - 00000416 ___AH C:\Windows\Tasks\User_Feed_Synchronization-{E75C0192-2285-45EC-BD89-410605581C1A}.job
2013-05-27 10:32 - 2009-01-23 17:05 - 00000069 ____A C:\Windows\NeroDigital.ini
2013-05-24 11:13 - 2008-02-11 23:22 - 00000000 ____D C:\Users\Lars\Documents\Citavi
2013-05-14 12:49 - 2010-01-06 11:56 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-05-07 21:46 - 2010-07-30 19:45 - 00000000 ____D C:\Program Files\OFPS_bwfoto
2013-05-06 12:36 - 2012-11-26 22:09 - 00000000 ____D C:\Users\Lars\Documents\2012_Arbeit_ELK
2013-05-06 10:10 - 2008-02-13 15:35 - 00000000 ____D C:\Program Files\Picasa2

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-3684105093-732391033-1714160640-1000\$47f186bbb2dba2d2414c9c49f039b5c5

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$47f186bbb2dba2d2414c9c49f039b5c5

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender


Last Boot: 2013-06-03 23:23

==================== End Of Log ============================

[B]

Addition:

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 03-06-2013 02
Ran by MUSTERMANN at 2013-06-04 00:15:39 Run:
Running from F:\Trojaner
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

Adobe AIR (Version: 3.4.0.2710)
Adobe Anchor Service CS3 (Version: 1.0)
Adobe Asset Services CS3 (Version: 3)
Adobe Bridge CS3 (Version: 2)
Adobe Bridge Start Meeting (Version: 1.0)
Adobe Camera Raw 4.0 (Version: 4.0)
Adobe CMaps (Version: 1.0)
Adobe Color - Photoshop Specific (Version: 1.0)
Adobe Color Common Settings (Version: 1.0.1)
Adobe Color EU Recommended Settings (Version: 1.0)
Adobe Color JA Extra Settings (Version: 1.0)
Adobe Color NA Extra Settings (Version: 1.0)
Adobe Default Language CS3 (Version: 1.0)
Adobe Device Central CS3 (Version: 1.0)
Adobe ExtendScript Toolkit 2 (Version: 2.0.2)
Adobe Flash Player 11 ActiveX (Version: 11.1.102.62)
Adobe Flash Player 11 Plugin (Version: 11.5.502.146)
Adobe Fonts All (Version: 1.0)
Adobe Help Viewer CS3 (Version: 1)
Adobe Linguistics CS3 (Version: 3.0.0)
Adobe PDF Library Files (Version: 8.0)
Adobe Photoshop CS3 (Version: 10)
Adobe Photoshop CS3 (Version: 10.0)
Adobe Photoshop Lightroom 4 (Version: 4.0.1)
Adobe Reader 9.5.5 - Deutsch (Version: 9.5.5)
Adobe Setup (Version: 1.0)
Adobe Shockwave Player 11.5 (Version: 11.5.8.612)
Adobe Stock Photos CS3 (Version: 1.5)
Adobe Type Support (Version: 1.0)
Adobe Update Manager CS3 (Version: 5.1.0)
Adobe Version Cue CS3 Client (Version: 3)
Adobe WinSoft Linguistics Plugin (Version: 1.0)
Adobe XMP Panels CS3 (Version: 1.0)
Allway Sync version 9.4.11
ALPS Touch Pad Driver
Apple Application Support (Version: 2.0.1)
Apple Software Update (Version: 2.1.3.127)
ASUS Splendid Video Enhancement Technology (Version: 1.02.14)
Atheros Driver Installation Program (Version: 7.1)
ATK Hotkey (Version: 1.00.0005)
ATKOSD2 (Version: 6.64.1.3)
Audials (Version: 9.0.51207.700)
Avira Free Antivirus (Version: 13.0.0.3640)
Canon IJ Network Scan Utility
Canon IJ Network Tool
CANON iMAGE GATEWAY Task for ZoomBrowser EX (Version: 1.5.0.3)
Canon MP560 series MP Drivers
Canon Utilities CameraWindow (Version: 7.1.0.2)
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX (Version: 6.4.2.16)
Canon Utilities EOS Utility (Version: 2.4.0.1)
Canon Utilities My Printer
Canon Utilities MyCamera (Version: 6.4.0.5)
Canon Utilities Original Data Security Tools (Version: 1.4.0.1)
Canon Utilities WFT-E1/E2/E3 Utility (Version: 3.2.1.1)
CDex extraction audio
CIB pdf brewer 2.5.22 (Version: 2.5.22)
Cisco AnyConnect Secure Mobility Client  (Version: 3.1.02040)
Cisco AnyConnect Secure Mobility Client (Version: 3.1.02040)
Citavi 2.5.2.0 (Version: 2.5.2.0)
Citavi Picker 2008.08.06 für Adobe Reader und Adobe Acrobat (Version: 2008.08.06)
Compatibility Pack für 2007 Office System (Version: 12.0.6021.5000)
Dropbox (Version: 1.6.18)
EOS USB WIA Driver (Version: 6.0.1.5)
Foto-Mosaik-Edda Standard V5.8.0
Google Updater (Version: 2.4.2432.1652)
IBM SPSS Statistics 19 (Version: 19.0.0)
IrfanView (remove only)
Java(TM) 6 Update 13 (Version: 6.0.130)
Java(TM) 6 Update 7 (Version: 1.6.0.70)
LifeFrame2 (Version: 2.0.12)
LightScribe  1.4.124.1 (Version: 1.4.124.1)
LyX 2.0.0-2 (Version: 2.0.0-2)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
Microsoft Office Professional Edition 2003 (Version: 11.0.8173.0)
Microsoft Silverlight (Version: 5.1.20125.0)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.59193)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (Version: 9.0.21022)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
MiKTeX 2.9 (Version: 2.9)
Mozilla Firefox 12.0 (x86 de) (Version: 12.0)
Mozilla Maintenance Service (Version: 12.0)
Mozilla Thunderbird (3.0.11) (Version: 3.0.11 (de))
Mp3tag v2.43 (Version: v2.43)
MSXML 4.0 SP2 (KB927978) (Version: 4.20.9841.0)
MSXML 4.0 SP2 (KB936181) (Version: 4.20.9848.0)
MSXML 4.0 SP2 (KB941833) (Version: 4.20.9849.0)
MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0)
Napster (Version: 4.6.4.0)
Napster 5 Beta (Version: 1.0.59)
Napster Burn Engine (Version: 3.5.0000)
Nero 7 Essentials (Version: 7.02.4129)
NVIDIA Drivers
Online Foto Print System ( OFPS bw-foto )
PDF Settings (Version: 1.0)
Picasa 3 (Version: 3.9)
Power4Gear eXtreme (Version: 1.00.0006)
QuickTime (Version: 7.70.80.34)
Realtek High Definition Audio Driver (Version: 6.0.1.5334)
SciMacros für Microsoft Word 2003 (Version 11)
Stardock Fences 2 (Version: 2.10)
System Requirements Lab
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1)
USB2.0 1.3M WebCam
VideoLAN VLC media player 0.8.6c (Version: 0.8.6c)
Vodafone Mobile Connect Lite (Version: 9.4.3.17550)
Winamp (Version: 5.572 )
WinFlash
WinRAR
Wireless Console 2 (Version: 2.0.8)
YoWindow (Version: 3)

==================== Restore Points  =========================

03-06-2013 20:00:46 Removed Google Earth.

==================== Hosts content: ==========================

::1             localhost

127.0.0.1       localhost


==================== Faulty Device Manager Devices =============

Name: USB2.0 1.3M WebCam
Description: USB2.0 1.3M WebCam
Class Guid: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
Manufacturer: Syntek
Service: StkCMini
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Description: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Cisco Systems
Service: vpnva
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (06/03/2013 09:58:47 PM) (Source: Application Hang) (User: )
Description: Programm Audials.exe, Version 9.0.51207.700 arbeitet nicht mehr mit Windows zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem zu suchen.
Prozess-ID: d24
Anfangszeit: 01ce60948ccd007e
Zeitpunkt der Beendigung: 125

Error: (06/03/2013 09:53:30 PM) (Source: Microsoft-Windows-CAPI2) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabDie Daten sind unzulässig.

Error: (06/03/2013 09:37:34 PM) (Source: EventSystem) (User: )
Description: d:\vista_gdr\com\complus\src\events\tier1\eventsystemobj.cpp458007043c

Error: (06/03/2013 08:48:03 PM) (Source: Microsoft-Windows-CAPI2) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabDie Daten sind unzulässig.

Error: (06/03/2013 07:37:17 PM) (Source: EventSystem) (User: )
Description: d:\vista_gdr\com\complus\src\events\tier1\eventsystemobj.cpp458007043c

Error: (06/03/2013 01:33:01 PM) (Source: EventSystem) (User: )
Description: d:\vista_gdr\com\complus\src\events\tier1\eventsystemobj.cpp458007043c

Error: (06/03/2013 11:00:23 AM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (06/03/2013 10:55:38 AM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.


Vorgang:
   Generatordaten werden gesammelt

Kontext:
   Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
   Generatorname: System Writer
   Generatorinstanz-ID: {ad135fd2-526f-4bd1-a626-f0a4f3aba769}

Error: (06/03/2013 10:01:42 AM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (06/01/2013 02:36:44 PM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue


System errors:
=============
Error: (06/03/2013 11:20:38 PM) (Source: WMPNetworkSvc) (User: )
Description: WMPNetworkSvc0x80070424

Error: (06/03/2013 11:20:36 PM) (Source: Service Control Manager) (User: )
Description: KtmRm für Distributed Transaction CoordinatorSicherheitskonto-Manager%%1058

Error: (06/03/2013 11:19:54 PM) (Source: Service Control Manager) (User: )
Description: Windows Media Player-Netzwerkfreigabedienst%%1053

Error: (06/03/2013 11:19:54 PM) (Source: Service Control Manager) (User: )
Description: 30000Windows Media Player-Netzwerkfreigabedienst

Error: (06/03/2013 11:18:52 PM) (Source: Service Control Manager) (User: )
Description: IPsec-Richtlinien-AgentBFE

Error: (06/03/2013 11:18:52 PM) (Source: Service Control Manager) (User: )
Description: IKE- und AuthIP IPsec-SchlüsselerstellungsmoduleBFE

Error: (06/03/2013 11:18:52 PM) (Source: Service Control Manager) (User: )
Description: Parallel port driver%%1058

Error: (06/03/2013 11:18:52 PM) (Source: Service Control Manager) (User: )
Description: ComputerbrowserServer%%1068

Error: (06/03/2013 11:18:52 PM) (Source: Service Control Manager) (User: )
Description: ServerSicherheitskonto-Manager%%1058

Error: (06/03/2013 11:16:55 PM) (Source: Print) (User: NT-AUTORITÄT)
Description: Der Druckspooler konnte den Drucker CIB pdf brewer nicht unter dem Namen CIB pdf brewer freigeben. Fehler: 2114. Der Drucker kann nicht von anderen Benutzern im Netzwerk verwendet werden.


Microsoft Office Sessions:
=========================
Error: (06/03/2013 09:58:47 PM) (Source: Application Hang)(User: )
Description: Audials.exe9.0.51207.700d2401ce60948ccd007e125

Error: (06/03/2013 09:53:30 PM) (Source: Microsoft-Windows-CAPI2)(User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabDie Daten sind unzulässig.

Error: (06/03/2013 09:37:34 PM) (Source: EventSystem)(User: )
Description: d:\vista_gdr\com\complus\src\events\tier1\eventsystemobj.cpp458007043c

Error: (06/03/2013 08:48:03 PM) (Source: Microsoft-Windows-CAPI2)(User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabDie Daten sind unzulässig.

Error: (06/03/2013 07:37:17 PM) (Source: EventSystem)(User: )
Description: d:\vista_gdr\com\complus\src\events\tier1\eventsystemobj.cpp458007043c

Error: (06/03/2013 01:33:01 PM) (Source: EventSystem)(User: )
Description: d:\vista_gdr\com\complus\src\events\tier1\eventsystemobj.cpp458007043c

Error: (06/03/2013 11:00:23 AM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (06/03/2013 10:55:38 AM) (Source: VSS)(User: )
Description: 0x80070005

Vorgang:
   Generatordaten werden gesammelt

Kontext:
   Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
   Generatorname: System Writer
   Generatorinstanz-ID: {ad135fd2-526f-4bd1-a626-f0a4f3aba769}

Error: (06/03/2013 10:01:42 AM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (06/01/2013 02:36:44 PM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue


==================== Memory info =========================== 

Percentage of memory in use: 45%
Total physical RAM: 1982.63 MB
Available physical RAM: 1089.37 MB
Total Pagefile: 4178.38 MB
Available Pagefile: 3173.45 MB
Total Virtual: 2047.88 MB
Available Virtual: 1924.28 MB

==================== Drives ================================

Drive c: (VistaOS) (Fixed) (Total:67.07 GB) (Free:2.74 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Volume) (Fixed) (Total:39.83 GB) (Free:6.32 GB) NTFS
Drive f: () (Removable) (Total:1.88 GB) (Free:1.55 GB) FAT

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 112 GB) (Disk ID: 4C2CD691)
Partition 1: (Not Active) - (Size=5 GB) - (Type=1C)
Partition 2: (Active) - (Size=67 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=40 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 2 GB) (Disk ID: 6B736964)
Partition 1: (Not Active) - (Size=777 GB) - (Type=74)
Partition 2: (Not Active) - (Size=257 GB) - (Type=65)
Partition 3: (Not Active) - (Size=667 GB) - (Type=53)
Partition 4: (Not Active) - (Size=32 MB) - (Type=BB)

==================== End Of Log ============================

Vielen Dank!

aharonov · 04.06.2013, 00:01

Hallo,

lassen wir das mit Kaspersky mal aussen vor.
Hier die nächsten Schritte:

Schritt 1

Drücke die

+ R Taste und schreibe "notepad" in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

Code:

ATTFilter

HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] fastprox.dll ATTENTION! ====> ZeroAccess
HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-3684105093-732391033-1714160640-1000\$47f186bbb2dba2d2414c9c49f039b5c5\n. ATTENTION! ====> ZeroAccess
MountPoints2: {7402f8f9-26f9-11dc-82dd-001a92b087a6} - I:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
MountPoints2: {2cedfdde-757b-11dc-8d44-001a92b087a6} - F:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
C:\$Recycle.Bin\S-1-5-21-3684105093-732391033-1714160640-1000\$47f186bbb2dba2d2414c9c49f039b5c5
C:\$Recycle.Bin\S-1-5-18\$47f186bbb2dba2d2414c9c49f039b5c5
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt ebenfalls auf deinen Desktop neben FRST.

Starte nun FRST und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt. Poste mir deren Inhalt.

Schritt 2

Starte noch einmal FRST.

Ändere keine der Voreinstellungen und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

Fixlog von FRST
Log von FRST

Mobeil · 04.06.2013, 09:57

Schritt 1:: Erstellen von Fixlog

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-06-2013 02
Ran by Lars at 2013-06-04 10:48:29 Run:1
Running from F:\Trojaner
Boot Mode: Normal

==============================================

HKLM\Software\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32\\Default => Value was restored successfully.
HKCR\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\\Default => Value was restored successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7402f8f9-26f9-11dc-82dd-001a92b087a6} => Key deleted successfully.
HKCR\CLSID\{7402f8f9-26f9-11dc-82dd-001a92b087a6} => Key not found.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2cedfdde-757b-11dc-8d44-001a92b087a6} => Key deleted successfully.
HKCR\CLSID\{2cedfdde-757b-11dc-8d44-001a92b087a6} => Key not found.
C:\$Recycle.Bin\S-1-5-21-3684105093-732391033-1714160640-1000\$47f186bbb2dba2d2414c9c49f039b5c5 => Directory moved successfully.
C:\$Recycle.Bin\S-1-5-18\$47f186bbb2dba2d2414c9c49f039b5c5 => Deleted successfully.
"C:\Program Files\Windows Defender\de-DE" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpAsDesc.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpClient.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpCmdRun.exe" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpEvMsg.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpOAV.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpRtMon.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpRtPlug.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpSigDwn.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpSoftEx.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MpSvc.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MSASCui.exe" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MsMpCom.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MsMpLics.dll" => Deleting reparse point and unlocking completed.
"C:\Program Files\Windows Defender\MsMpRes.dll" => Deleting reparse point and unlocking completed.

==== End of Fixlog ====

Schritt 2 Scan mit FRST:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-06-2013 02
Ran by Lars (administrator) on 04-06-2013 10:51:11
Running from F:\Trojaner
Windows Vista (TM) Home Premium (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Syntek America Inc.) C:\Windows\System32\StkSrv.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Realtek Semiconductor) C:\Windows\RtHDVCpl.exe
(Alps Electric Co., Ltd.) C:\Program Files\Apoint2K\Apoint.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(Dropbox, Inc.) C:\Users\Lars\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Repkasoft) C:\Program Files\YoWindow\yowindow.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Alps Electric Co., Ltd.) C:\Program Files\Apoint2K\ApMsgFwd.exe
(Alps Electric Co., Ltd.) C:\Program Files\Apoint2K\HidFind.exe
(Alps Electric Co., Ltd.) C:\Program Files\Apoint2K\Apntex.exe
(ALPS) C:\Program Files\Apoint2K\Apvfb.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart [90191 2006-12-19] (NVIDIA Corporation)
HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [7766016 2006-12-19] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [81920 2006-12-19] (NVIDIA Corporation)
HKLM\...\Run: [RtHDVCpl] RtHDVCpl.exe [x]
HKLM\...\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe [155648 2006-09-12] (Alps Electric Co., Ltd.)
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2011-07-05] (Apple Inc.)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [41056 2013-05-08] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] "C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized [701872 2013-01-24] (Cisco Systems, Inc.)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345312 2013-06-03] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [Fences] "C:\Program Files\Stardock\Fences\Fences.exe" /startup [3996848 2013-03-21] (Stardock Corporation)
HKCU\...\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun [1232896 2008-01-10] (Microsoft Corporation)
HKCU\...\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe [125440 2006-11-02] (Microsoft Corporation)
MountPoints2: F - WDSetup.exe
MountPoints2: {1512d8d9-1581-11df-947c-001a92b087a6} - F:\wd_windows_tools\setup.exe
MountPoints2: {53280f24-3257-11df-bfab-001a92b087a6} - F:\setup_vmc_lite.exe /checkApplicationPresence
MountPoints2: {53280f43-3257-11df-bfab-001a92b087a6} - F:\setup_vmc_lite.exe /checkApplicationPresence
MountPoints2: {6750d2d1-3357-11df-8a17-001a92b087a6} - G:\setup_vmc_lite.exe /checkApplicationPresence
MountPoints2: {7402f8fc-26f9-11dc-82dd-001a92b087a6} - F:\LaunchU3.exe
MountPoints2: {765b8381-60ad-11dd-acba-001a92b087a6} - F:\LaunchU3.exe -a
MountPoints2: {7f060b75-775c-11de-bce2-001a92b087a6} - windows\usbv.exe
MountPoints2: {a7f0f0f3-e767-11de-bd45-001a92b087a6} - F:\Menu.exe
MountPoints2: {dfdda188-feb1-11dd-ad95-001a92b087a6} - WDSetup.exe
Startup: C:\Users\Lars\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Lars\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Lars\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YoWindow.lnk
ShortcutTarget: YoWindow.lnk -> C:\Program Files\YoWindow\yowindow.exe (Repkasoft)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKLM SearchScopes: DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
HKCU SearchScopes: DefaultScope {438B8E72-FD85-439F-9A6C-075D600546D9} URL = hxxp://www.google.de/search?q={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
SearchScopes: HKCU - {438B8E72-FD85-439F-9A6C-075D600546D9} URL = hxxp://www.google.de/search?q={searchTerms}
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (Google Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
PDF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
PDF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
PDF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
PDF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
Winsock: Catalog5 08 C:\Program Files\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.)
Winsock: Catalog9 01 bmnet.dll [94208] (Apple Computer, Inc.)
Winsock: Catalog9 02 bmnet.dll [94208] (Apple Computer, Inc.)
Winsock: Catalog9 03 bmnet.dll [94208] (Apple Computer, Inc.)
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\32x5c3ii.default
FF Homepage: hxxp://google.com
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF Plugin: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF Plugin: @google.com/npPicasa2,version=2.0.0 - C:\Program Files\Picasa2\npPicasa2.dll (Google, Inc.)
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Picasa2\npPicasa3.dll (Google, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @pack.google.com/Google Updater;version=14 - C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Extension: Screengrab - C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\32x5c3ii.default\Extensions\{02450954-cdd9-410f-b1da-db804e18c671}
FF Extension: Google Toolbar for Firefox - C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\32x5c3ii.default\Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}

Chrome: 
=======
CHR DefaultSearchURL: (Google) - {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}
CHR DefaultSuggestURL: (Google) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\26.0.1410.64\PepperFlash\pepflashplayer.dll No File
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\26.0.1410.64\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\26.0.1410.64\pdf.dll No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (Java(TM) Platform SE 6 U13) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
CHR Plugin: (Java(TM) Platform SE 6 U13) - C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll (Sun Microsystems, Inc.)
CHR Plugin: (Microsoft Office 2003) - C:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL (Microsoft Corporation)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll (Apple Inc.)
CHR Plugin: (QuickTime Plug-in 7.7) - C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll (Apple Inc.)
CHR Plugin: (NapsterLink) - C:\Program Files\Mozilla Firefox\plugins\npstrlnk.dll ( )
CHR Plugin: (Google Earth Plugin) - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll No File
CHR Plugin: (Google Updater) - C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll No File
CHR Plugin: (Silverlight Plug-In) - C:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll No File
CHR Plugin: (Picasa) - C:\Program Files\Picasa2\npPicasa2.dll (Google, Inc.)
CHR Plugin: (Picasa) - C:\Program Files\Picasa2\npPicasa3.dll (Google, Inc.)
CHR Plugin: (Shockwave for Director) - C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll No File
CHR Plugin: (Windows Presentation Foundation) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
CHR Extension: (YouTube) - C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86752 2013-06-03] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110816 2013-06-03] (Avira Operations GmbH & Co. KG)
R2 StkSSrv; C:\Windows\System32\StkSrv.exe [24576 2006-09-07] (Syntek America Inc.)
R2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [544688 2013-01-24] (Cisco Systems, Inc.)
S2 CLTNetCnService; "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon [x]
S3 msiserver; %systemroot%\system32\msiexec /V [x]

==================== Drivers (Whitelisted) ====================

S3 acsint; C:\Windows\System32\DRIVERS\acsint.sys [39888 2013-01-24] (Cisco Systems, Inc.)
S3 acsmux; C:\Windows\System32\DRIVERS\acsmux.sys [58320 2013-01-24] (Cisco Systems, Inc.)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-06-03] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-06-03] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-06-03] (Avira Operations GmbH & Co. KG)
S3 CVirtA; C:\Windows\System32\DRIVERS\CVirtA.sys [5275 2007-01-18] (Cisco Systems, Inc.)
S4 DNE; C:\Windows\System32\DRIVERS\dne2000.sys [131984 2008-11-16] (Deterministic Networks, Inc.)
S3 hwusbfake; C:\Windows\System32\DRIVERS\ewusbfake.sys [102912 2009-06-29] (Huawei Technologies Co., Ltd.)
R3 MTsensor; C:\Windows\System32\DRIVERS\ATKACPI.sys [7680 2006-12-14] (ATK0100)
S3 RRNetCap; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2011-11-04] (RapidSolution Software AG)
R3 RRNetCapMP; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2011-11-04] (RapidSolution Software AG)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-06-03] (Avira GmbH)
S3 StkCMini; C:\Windows\System32\DRIVERS\StkCMini.sys [669568 2006-11-10] ()
R3 tbhsd; C:\Windows\System32\drivers\tbhsd.sys [39016 2011-11-04] (RapidSolution Software AG)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-04 00:14 - 2013-06-04 10:48 - 00000000 ____D C:\FRST
2013-06-03 23:10 - 2013-06-03 23:10 - 00138960 ____A C:\Windows\Minidump\Mini060313-01.dmp
2013-06-03 22:14 - 2013-06-03 22:14 - 00000000 ____A C:\Users\Lars\defogger_reenable
2013-06-03 21:55 - 2013-06-03 21:55 - 00000000 ____D C:\Users\Lars\AppData\Local\Stardock_Corporation
2013-06-03 21:55 - 2013-06-03 21:55 - 00000000 ____D C:\ProgramData\Stardock
2013-06-03 21:54 - 2013-06-03 21:54 - 00001814 ____A C:\Users\Lars\Desktop\Customize Fences.lnk
2013-06-03 21:54 - 2013-06-03 21:54 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Stardock
2013-06-03 21:54 - 2013-06-03 21:54 - 00000000 ____D C:\Program Files\Stardock
2013-06-03 20:42 - 2013-06-03 20:42 - 00001894 ____A C:\Users\Public\Desktop\Adobe Reader 9.lnk
2013-06-03 20:18 - 2013-06-03 20:18 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Avira
2013-06-03 20:14 - 2013-06-03 20:14 - 00001854 ____A C:\Users\Public\Desktop\Avira Control Center.lnk
2013-06-03 20:13 - 2013-06-03 20:13 - 00000000 ____D C:\ProgramData\Avira
2013-06-03 20:13 - 2013-06-03 20:11 - 00135136 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-06-03 20:13 - 2013-06-03 20:11 - 00037352 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-06-03 19:42 - 2013-06-03 19:42 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Malwarebytes
2013-06-03 19:41 - 2013-06-03 19:41 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-06-03 12:27 - 2013-06-03 12:27 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Canneverbe Limited
2013-06-03 12:27 - 2013-06-03 12:27 - 00000000 ____D C:\ProgramData\Canneverbe Limited
2013-06-03 12:25 - 2013-06-03 12:25 - 00000000 ____D C:\TDSSKiller_Quarantine
2013-06-03 11:04 - 2013-06-03 19:28 - 00000000 ____D C:\Users\Lars\Downloads\Antivir

==================== One Month Modified Files and Folders ========

2013-06-04 10:48 - 2013-06-04 00:14 - 00000000 ____D C:\FRST
2013-06-04 10:42 - 2011-08-21 23:12 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Dropbox
2013-06-04 10:40 - 2006-11-02 12:33 - 01461736 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-04 10:33 - 2012-10-29 21:07 - 00000000 ___RD C:\Users\Lars\Dropbox
2013-06-04 10:33 - 2007-06-28 19:42 - 00042174 ____A C:\Users\Lars\AppData\Roaming\nvModes.dat
2013-06-04 10:33 - 2007-06-28 19:42 - 00042174 ____A C:\Users\Lars\AppData\Roaming\nvModes.001
2013-06-04 10:27 - 2007-03-05 02:59 - 01746148 ____A C:\Windows\WindowsUpdate.log
2013-06-04 10:22 - 2006-11-02 15:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-04 10:22 - 2006-11-02 14:47 - 00003072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-04 10:22 - 2006-11-02 14:47 - 00003072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-04 00:28 - 2006-11-02 15:01 - 00032620 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-06-03 23:10 - 2013-06-03 23:10 - 00138960 ____A C:\Windows\Minidump\Mini060313-01.dmp
2013-06-03 23:10 - 2012-01-20 13:58 - 254068966 ____A C:\Windows\MEMORY.DMP
2013-06-03 23:10 - 2012-01-20 13:58 - 00000000 ____D C:\Windows\Minidump
2013-06-03 22:14 - 2013-06-03 22:14 - 00000000 ____A C:\Users\Lars\defogger_reenable
2013-06-03 22:14 - 2007-06-28 16:16 - 00000000 ____D C:\users\Lars
2013-06-03 22:03 - 2007-09-10 19:10 - 00000000 ____D C:\Program Files\Google
2013-06-03 21:55 - 2013-06-03 21:55 - 00000000 ____D C:\Users\Lars\AppData\Local\Stardock_Corporation
2013-06-03 21:55 - 2013-06-03 21:55 - 00000000 ____D C:\ProgramData\Stardock
2013-06-03 21:54 - 2013-06-03 21:54 - 00001814 ____A C:\Users\Lars\Desktop\Customize Fences.lnk
2013-06-03 21:54 - 2013-06-03 21:54 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Stardock
2013-06-03 21:54 - 2013-06-03 21:54 - 00000000 ____D C:\Program Files\Stardock
2013-06-03 21:47 - 2008-02-11 20:01 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2013-06-03 21:42 - 2011-04-19 20:54 - 00001356 ____A C:\Users\Lars\AppData\Local\d3d9caps.dat
2013-06-03 20:46 - 2007-06-29 08:04 - 00164954 ____A C:\Windows\PFRO.log
2013-06-03 20:42 - 2013-06-03 20:42 - 00001894 ____A C:\Users\Public\Desktop\Adobe Reader 9.lnk
2013-06-03 20:18 - 2013-06-03 20:18 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Avira
2013-06-03 20:14 - 2013-06-03 20:14 - 00001854 ____A C:\Users\Public\Desktop\Avira Control Center.lnk
2013-06-03 20:13 - 2013-06-03 20:13 - 00000000 ____D C:\ProgramData\Avira
2013-06-03 20:13 - 2008-02-21 19:02 - 00000000 ____D C:\Program Files\Avira
2013-06-03 20:11 - 2013-06-03 20:13 - 00135136 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-06-03 20:11 - 2013-06-03 20:13 - 00037352 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-06-03 20:11 - 2009-07-20 12:14 - 00084744 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys
2013-06-03 20:11 - 2008-02-21 19:02 - 00028520 ____A (Avira GmbH) C:\Windows\System32\Drivers\ssmdrv.sys
2013-06-03 19:42 - 2013-06-03 19:42 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Malwarebytes
2013-06-03 19:41 - 2013-06-03 19:41 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-06-03 19:28 - 2013-06-03 11:04 - 00000000 ____D C:\Users\Lars\Downloads\Antivir
2013-06-03 13:31 - 2009-01-19 15:59 - 00000000 ____D C:\Program Files\Common Files\LightScribe
2013-06-03 13:31 - 2008-11-22 20:15 - 00000000 ____D C:\Program Files\Bonjour
2013-06-03 13:24 - 2009-03-24 20:38 - 00001052 ____A C:\Windows\Tasks\Google Software Updater.job
2013-06-03 12:27 - 2013-06-03 12:27 - 00000000 ____D C:\Users\Lars\AppData\Roaming\Canneverbe Limited
2013-06-03 12:27 - 2013-06-03 12:27 - 00000000 ____D C:\ProgramData\Canneverbe Limited
2013-06-03 12:25 - 2013-06-03 12:25 - 00000000 ____D C:\TDSSKiller_Quarantine
2013-06-03 10:59 - 2007-06-28 20:47 - 00045056 ____A C:\Windows\System32\acovcnt.exe
2013-06-03 10:03 - 2007-06-28 16:20 - 00000416 ___AH C:\Windows\Tasks\User_Feed_Synchronization-{E75C0192-2285-45EC-BD89-410605581C1A}.job
2013-05-27 10:32 - 2009-01-23 17:05 - 00000069 ____A C:\Windows\NeroDigital.ini
2013-05-24 11:13 - 2008-02-11 23:22 - 00000000 ____D C:\Users\Lars\Documents\Citavi
2013-05-14 12:49 - 2010-01-06 11:56 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-05-07 21:46 - 2010-07-30 19:45 - 00000000 ____D C:\Program Files\OFPS_bwfoto
2013-05-06 12:36 - 2012-11-26 22:09 - 00000000 ____D C:\Users\Lars\Documents\2012_Arbeit_ELK
2013-05-06 10:10 - 2008-02-13 15:35 - 00000000 ____D C:\Program Files\Picasa2

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


Last Boot: 2013-06-04 10:37

==================== End Of Log ============================

Viele Grüße!

aharonov · 04.06.2013, 10:46

Hallo,

kannst du jetzt wieder Dateien downloaden, ohne dass diese "verschwinden"?

Schritt 1

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Schritt 2

Downloade dir bitte

Farbar Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
- Other Services
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Bitte poste in deiner nächsten Antwort:

Log von MBAR
Log von FSS

Mobeil · 04.06.2013, 13:33

Hallo Leo,
die gute Nachricht: ich kann Dateien wieder ganz normal downloaden. Super!
Jetzt zu den geforderten Angaben:
Malwarebytes habe ich wie gefordert scannen lassen, das System neu gebootet und wieder gescannt. Dementsprechend zwei Logfiles:

Log des 1.Scans:

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.06.0.1003
www.malwarebytes.org

Database version: v2013.06.04.03

Windows Vista x86 NTFS
Internet Explorer 8.0.6001.18882
Lars :: MUSTERMANN [administrator]

04.06.2013 13:30:29
mbar-log-2013-06-04 (13-30-29).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: Deep Anti-Rootkit Scan | PUP
Objects scanned: 213823
Time elapsed: 16 minute(s), 25 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Log Malwarebytes nach Neustart:

Code:

ATTFilter

 Malwarebytes Anti-Rootkit BETA 1.06.0.1003
www.malwarebytes.org

Database version: v2013.06.04.04

Windows Vista x86 NTFS
Internet Explorer 8.0.6001.18882
Lars :: MUSTERMANN [administrator]

04.06.2013 14:00:38
mbar-log-2013-06-04 (14-00-38).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: Deep Anti-Rootkit Scan | PUP
Objects scanned: 213356
Time elapsed: 15 minute(s), 35 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Was mir parallel zum 1.Scan auffiel:
Beim ersten Scan hatte ich versehentlich Antivir noch nicht abgeschaltet.
Es lieferte folgende Meldung: "Ordner: C:users\Lars\AppData\Local\Temp\L.class wird nicht geöffnet da sich darin das Schadprogramm: EXP\Java.ternub.gen befindet.
Beim zweiten Scan hatte ich Antivir ausgeschaltet und die Meldung tauchte nicht mehr auf.

Log von FSS

Code:

ATTFilter

Farbar Service Scanner Version: 31-05-2013 01
Ran by Lars (administrator) on 04-06-2013 at 14:21:50
Running from "C:\Users\Lars\Desktop"
Windows Vista (TM) Home Premium  (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Security Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2007-06-29 15:15] - [2007-06-29 15:15] - 0265912 ____A (Microsoft Corporation) 0D5AD0E71FF5DDAC5DD2F443B499ABD0

C:\Windows\system32\ipnathlp.dll => MD5 is legit
C:\Windows\system32\iphlpsvc.dll
[2011-01-10 19:32] - [2010-02-18 16:19] - 0179712 ____A (Microsoft Corporation) ECC9AD72CFC4AB41CF6A9BCC11F9FEF6

C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****

aharonov · 04.06.2013, 13:42

Hallo,

es geht voran, aber wir sind noch nicht fertig.

Die Meldung von Avira betrifft nur was in den temporären Dateien. Dieser werden wir auch noch löschen.

Schritt 1

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von AdwCleaner
Log von OTL

Mobeil · 04.06.2013, 15:47

Hallo Leo,

Log von AdwCleaner:

Code:

ATTFilter

# AdwCleaner v2.301 - Datei am 04/06/2013 um 15:55:07 erstellt
# Aktualisiert am 16/05/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium  (32 bits)
# Benutzer : MUSTERMANN
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Lars\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18882

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v12.0 (de)

Datei : C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\32x5c3ii.default\prefs.js

C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\32x5c3ii.default\user.js ... Gelöscht !

Gelöscht : user_pref("winamp_toolbar.strbundle.msg", "Winamp Toolbar");

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [329 octets] - [04/06/2013 15:54:48]
AdwCleaner[S2].txt - [1402 octets] - [04/06/2013 15:55:07]

########## EOF - C:\AdwCleaner[S2].txt - [1462 octets] ##########

Log von OTL::

Code:

ATTFilter

OTL logfile created on: 04.06.2013 16:00:55 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = F:\Trojaner\Anfoderung für TB
Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18882)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,94 Gb Total Physical Memory | 1,14 Gb Available Physical Memory | 58,75% Memory free
4,08 Gb Paging File | 3,21 Gb Available in Paging File | 78,74% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 67,07 Gb Total Space | 2,47 Gb Free Space | 3,68% Space Free | Partition Type: NTFS
Drive D: | 39,83 Gb Total Space | 6,32 Gb Free Space | 15,85% Space Free | Partition Type: NTFS
Drive F: | 1,88 Gb Total Space | 1,55 Gb Free Space | 82,57% Space Free | Partition Type: FAT
 
Computer Name: MUSTERMANN | User Name: Lars | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.06.03 22:11:16 | 000,602,112 | ---- | M] (OldTimer Tools) -- F:\Trojaner\Anfoderung für TB\OTL.exe
PRC - [2013.06.03 20:10:10 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2013.06.03 20:08:17 | 000,079,584 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2013.06.03 20:07:57 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.06.03 20:07:54 | 000,345,312 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.05.25 02:47:30 | 027,776,968 | ---- | M] (Dropbox, Inc.) -- C:\Users\Lars\AppData\Roaming\Dropbox\bin\Dropbox.exe
PRC - [2013.01.24 09:33:44 | 000,701,872 | ---- | M] (Cisco Systems, Inc.) -- C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe
PRC - [2013.01.24 09:33:24 | 000,544,688 | ---- | M] (Cisco Systems, Inc.) -- C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
PRC - [2012.02.28 10:30:04 | 000,825,344 | ---- | M] (Repkasoft) -- C:\Program Files\YoWindow\yowindow.exe
PRC - [2008.10.29 08:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2006.12.01 07:36:59 | 004,186,112 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2006.11.02 11:44:59 | 000,068,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe
PRC - [2006.09.11 12:31:35 | 000,208,896 | ---- | M] (ALPS) -- C:\Program Files\Apoint2K\Apvfb.exe
PRC - [2006.09.08 09:10:21 | 000,040,960 | ---- | M] (Alps Electric Co., Ltd.) -- C:\Program Files\Apoint2K\HidFind.exe
PRC - [2006.09.07 06:31:45 | 000,024,576 | ---- | M] (Syntek America Inc.) -- C:\Windows\System32\StkSrv.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.03.13 22:48:52 | 024,978,944 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\Dropbox\bin\libcef.dll
MOD - [2013.01.24 09:34:14 | 000,063,408 | ---- | M] () -- C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\zlib1.dll
MOD - [2012.11.14 01:32:50 | 003,558,400 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\Dropbox\bin\wxmsw28uh_vc.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService)
SRV - [2013.06.03 20:10:10 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.06.03 20:07:57 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.01.24 09:33:24 | 000,544,688 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe -- (vpnagent)
SRV - [2012.05.03 21:54:52 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2007.06.29 15:15:27 | 000,265,912 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend)
SRV - [2006.09.07 06:31:45 | 000,024,576 | ---- | M] (Syntek America Inc.) [Auto | Running] -- C:\Windows\System32\StkSrv.exe -- (StkSSrv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2013.06.03 20:11:47 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2013.06.03 20:11:47 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2013.06.03 20:11:47 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2013.06.03 20:11:47 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2013.01.24 09:15:56 | 000,023,976 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vpnva.sys -- (vpnva)
DRV - [2013.01.24 09:13:56 | 000,058,320 | R--- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\acsmux.sys -- (acsmux)
DRV - [2013.01.24 09:13:56 | 000,039,888 | R--- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\acsint.sys -- (acsint)
DRV - [2011.11.04 15:59:46 | 000,039,016 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\tbhsd.sys -- (tbhsd)
DRV - [2011.11.04 15:59:41 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rrnetcap.sys -- (RRNetCapMP)
DRV - [2011.11.04 15:59:41 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rrnetcap.sys -- (RRNetCap)
DRV - [2009.06.29 18:59:02 | 000,112,128 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2009.06.29 18:59:02 | 000,102,912 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbfake.sys -- (hwusbfake)
DRV - [2009.04.09 14:38:26 | 000,102,784 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2008.11.16 18:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\dne2000.sys -- (DNE)
DRV - [2007.01.18 20:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2006.12.22 00:31:30 | 000,509,440 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2006.12.19 07:37:59 | 004,447,808 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2006.12.14 09:11:57 | 000,007,680 | ---- | M] (ATK0100) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ATKACPI.sys -- (MTsensor)
DRV - [2006.11.14 18:16:23 | 000,032,256 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2006.11.14 13:42:45 | 000,043,520 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2006.11.10 13:12:57 | 000,669,568 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\StkCMini.sys -- (StkCMini)
DRV - [2006.11.02 09:41:49 | 001,010,560 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\smserial.sys -- (smserial)
DRV - [2006.11.02 09:30:56 | 000,429,056 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvm60x32.sys -- (NVENETFD)
DRV - [2006.11.02 09:30:56 | 000,047,104 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2006.11.02 09:30:54 | 001,781,760 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\NETw3v32.sys -- (NETw3v32)
DRV - [2006.08.30 03:35:57 | 000,140,800 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Apfiltr.sys -- (ApfiltrService)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-3684105093-732391033-1714160640-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-3684105093-732391033-1714160640-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-3684105093-732391033-1714160640-1000\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-3684105093-732391033-1714160640-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-3684105093-732391033-1714160640-1000\..\SearchScopes\{438B8E72-FD85-439F-9A6C-075D600546D9}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-3684105093-732391033-1714160640-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-3684105093-732391033-1714160640-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3684105093-732391033-1714160640-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://google.com"
FF - prefs.js..extensions.enabledItems: {8AA36F4F-6DC7-4c06-77AF-5035170634FE}:2010.01.21
FF - prefs.js..extensions.enabledItems: {02450954-cdd9-410f-b1da-db804e18c671}:0.96.3
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: C:\Program Files\Picasa2\npPicasa2.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Picasa2\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ff-bmboc@bytemobile.com: C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\addon\ [2010.03.18 08:31:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.05.03 21:54:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013.06.03 20:42:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.0.11\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.09.25 20:16:45 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.0.11\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2010.01.26 01:21:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lars\AppData\Roaming\mozilla\Extensions
[2010.01.26 01:21:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lars\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2013.06.04 13:47:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Lars\AppData\Roaming\mozilla\Firefox\Profiles\32x5c3ii.default\extensions
[2011.02.21 18:16:09 | 000,000,000 | ---D | M] (Screengrab) -- C:\Users\Lars\AppData\Roaming\mozilla\Firefox\Profiles\32x5c3ii.default\extensions\{02450954-cdd9-410f-b1da-db804e18c671}
[2008.12.11 23:09:53 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\Lars\AppData\Roaming\mozilla\Firefox\Profiles\32x5c3ii.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2009.07.08 09:24:59 | 000,002,314 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\mozilla\firefox\profiles\32x5c3ii.default\searchplugins\forestle-de.xml
[2008.12.15 16:13:07 | 000,001,196 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\mozilla\firefox\profiles\32x5c3ii.default\searchplugins\winamp-search.xml
[2012.01.20 15:19:24 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions
[2007.06.28 17:53:07 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Program Files\mozilla firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.01.27 10:28:43 | 000,000,000 | ---D | M] ("Citavi Picker") -- C:\Program Files\mozilla firefox\extensions\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}
[2011.05.25 10:12:37 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2012.05.03 21:54:52 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2010.07.20 17:21:40 | 000,106,192 | ---- | M] ( ) -- C:\Program Files\mozilla firefox\plugins\npstrlnk.dll
[2012.02.13 23:37:07 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.13 23:37:07 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.02.13 23:37:07 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.13 23:37:07 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.13 23:37:07 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.13 23:37:07 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}
CHR - homepage: 
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\26.0.1410.64\PepperFlash\pepflashplayer.dll
CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\26.0.1410.64\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\26.0.1410.64\pdf.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: Java(TM) Platform SE 6 U13 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Java(TM) Platform SE 6 U13 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
CHR - plugin: Microsoft Office 2003 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll
CHR - plugin: NapsterLink (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npstrlnk.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Updater (Enabled) = C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll
CHR - plugin: Picasa (Enabled) = C:\Program Files\Picasa2\npPicasa2.dll
CHR - plugin: Picasa (Enabled) = C:\Program Files\Picasa2\npPicasa3.dll
CHR - plugin: Shockwave for Director (Enabled) = C:\Windows\system32\Adobe\Director\np32dsw.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - Extension: YouTube = C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (Google Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (Cisco Systems, Inc.)
O4 - HKLM..\Run: [Fences] C:\Program Files\Stardock\Fences\Fences.exe (Stardock Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - Startup: C:\Users\Lars\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Lars\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Users\Lars\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YoWindow.lnk = C:\Program Files\YoWindow\yowindow.exe (Repkasoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{45618544-CB27-43C1-A8D7-DF0D7370B134}: DhcpNameServer = 139.7.30.126 139.7.30.125
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{80115F06-64D9-4FEF-83A9-1A669BC48385}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{EDE0C2F9-9E67-4A09-A152-116CB44C72AD}: DhcpNameServer = 139.7.30.126 139.7.30.125
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O22 - SharedTaskScheduler: {1984DD45-52CF-49cd-AB77-18F378FEA264} - FencesShellExt - C:\Program Files\Stardock\Fences\FencesMenu.dll (Stardock)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img20.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img20.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2013.06.04 00:12:46 | 000,000,281 | RHS- | M] () - F:\autorun.inf -- [ FAT ]
O33 - MountPoints2\{1512d8d9-1581-11df-947c-001a92b087a6}\Shell\AutoRun\command - "" = F:\wd_windows_tools\setup.exe
O33 - MountPoints2\{53280f24-3257-11df-bfab-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{53280f24-3257-11df-bfab-001a92b087a6}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{53280f43-3257-11df-bfab-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{53280f43-3257-11df-bfab-001a92b087a6}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{6750d2d1-3357-11df-8a17-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{6750d2d1-3357-11df-8a17-001a92b087a6}\Shell\AutoRun\command - "" = G:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{7402f8fc-26f9-11dc-82dd-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{7402f8fc-26f9-11dc-82dd-001a92b087a6}\Shell\AutoRun\command - "" = F:\LaunchU3.exe
O33 - MountPoints2\{765b8381-60ad-11dd-acba-001a92b087a6}\Shell - "" = AutoRun
O33 - MountPoints2\{765b8381-60ad-11dd-acba-001a92b087a6}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{7f060b75-775c-11de-bce2-001a92b087a6}\Shell\AutoRun\command - "" = windows\usbv.exe
O33 - MountPoints2\{7f060b75-775c-11de-bce2-001a92b087a6}\Shell\open\command - "" = windows\usbv.exe
O33 - MountPoints2\{a7f0f0f3-e767-11de-bd45-001a92b087a6}\Shell\AutoRun\command - "" = F:\Menu.exe
O33 - MountPoints2\{dfdda188-feb1-11dd-ad95-001a92b087a6}\Shell\AutoRun\command - "" = WDSetup.exe
O33 - MountPoints2\F\Shell\AutoRun\command - "" = WDSetup.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.06.04 14:21:13 | 000,355,651 | ---- | C] (Farbar) -- C:\Users\Lars\Desktop\FSS.exe
[2013.06.04 13:30:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes' Anti-Malware (portable)
[2013.06.04 13:26:21 | 000,000,000 | ---D | C] -- C:\Users\Lars\Desktop\mbar
[2013.06.04 00:14:48 | 000,000,000 | ---D | C] -- C:\FRST
[2013.06.03 21:55:43 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Local\Stardock_Corporation
[2013.06.03 21:55:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Stardock
[2013.06.03 21:54:48 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Roaming\Stardock
[2013.06.03 21:54:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stardock
[2013.06.03 21:54:44 | 000,000,000 | ---D | C] -- C:\Program Files\Stardock
[2013.06.03 20:18:51 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Roaming\Avira
[2013.06.03 20:14:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2013.06.03 20:13:45 | 000,135,136 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2013.06.03 20:13:45 | 000,037,352 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.06.03 20:13:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013.06.03 19:42:00 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Roaming\Malwarebytes
[2013.06.03 19:41:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.06.03 12:27:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Canneverbe Limited
[2013.06.03 12:27:18 | 000,000,000 | ---D | C] -- C:\Users\Lars\AppData\Roaming\Canneverbe Limited
[2013.06.03 12:25:29 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
 
========== Files - Modified Within 30 Days ==========
 
[2013.06.04 15:58:56 | 000,042,174 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\nvModes.dat
[2013.06.04 15:58:56 | 000,042,174 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\nvModes.001
[2013.06.04 15:57:13 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013.06.04 15:57:13 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013.06.04 15:57:05 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.06.04 15:53:48 | 000,632,031 | ---- | M] () -- C:\Users\Lars\Desktop\adwcleaner.exe
[2013.06.04 14:21:27 | 000,355,651 | ---- | M] (Farbar) -- C:\Users\Lars\Desktop\FSS.exe
[2013.06.04 14:05:42 | 000,000,957 | ---- | M] () -- C:\Users\Lars\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2013.06.04 14:05:06 | 000,000,923 | ---- | M] () -- C:\Users\Lars\Desktop\Dropbox.lnk
[2013.06.04 13:24:00 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2013.06.04 13:18:51 | 013,169,742 | ---- | M] () -- C:\Users\Lars\Desktop\mbar-1.06.0.1003.zip
[2013.06.04 11:57:06 | 000,000,416 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{E75C0192-2285-45EC-BD89-410605581C1A}.job
[2013.06.04 10:40:32 | 000,641,344 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.06.04 10:40:32 | 000,610,142 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.06.04 10:40:32 | 000,116,706 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.06.04 10:40:32 | 000,103,924 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.06.03 23:10:04 | 254,068,966 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.06.03 22:14:27 | 000,000,000 | ---- | M] () -- C:\Users\Lars\defogger_reenable
[2013.06.03 21:54:59 | 000,001,814 | ---- | M] () -- C:\Users\Lars\Desktop\Customize Fences.lnk
[2013.06.03 21:42:10 | 000,001,356 | ---- | M] () -- C:\Users\Lars\AppData\Local\d3d9caps.dat
[2013.06.03 20:42:40 | 000,001,894 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[2013.06.03 20:14:16 | 000,001,854 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.06.03 20:11:47 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2013.06.03 20:11:47 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2013.06.03 20:11:47 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.06.03 20:11:47 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2013.06.03 10:59:43 | 000,045,056 | ---- | M] () -- C:\Windows\System32\acovcnt.exe
[2013.05.27 10:32:35 | 000,000,069 | ---- | M] () -- C:\Windows\NeroDigital.ini
 
========== Files Created - No Company Name ==========
 
[2013.06.04 15:53:43 | 000,632,031 | ---- | C] () -- C:\Users\Lars\Desktop\adwcleaner.exe
[2013.06.04 13:18:50 | 013,169,742 | ---- | C] () -- C:\Users\Lars\Desktop\mbar-1.06.0.1003.zip
[2013.06.03 22:14:27 | 000,000,000 | ---- | C] () -- C:\Users\Lars\defogger_reenable
[2013.06.03 21:54:59 | 000,001,814 | ---- | C] () -- C:\Users\Lars\Desktop\Customize Fences.lnk
[2013.06.03 20:42:40 | 000,001,894 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[2013.06.03 20:14:16 | 000,001,854 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.05.02 15:07:50 | 004,246,016 | ---- | C] () -- C:\Program Files\anyconnect-win-3.1.02040-pre-deploy-k9.msi
[2013.01.01 20:45:06 | 000,000,127 | ---- | C] () -- C:\Windows\System32\MRT.INI
[2011.04.19 20:54:44 | 000,001,356 | ---- | C] () -- C:\Users\Lars\AppData\Local\d3d9caps.dat
[2010.09.27 17:35:37 | 000,000,072 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\psppirerc
[2009.11.10 14:04:07 | 000,004,096 | -H-- | C] () -- C:\Users\Lars\AppData\Local\keyfile3.drm
[2009.06.16 14:25:02 | 000,121,512 | R--- | C] () -- C:\ProgramData\DeviceManager.xml.rc4
[2009.05.08 09:39:46 | 000,000,410 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\Poladroid prefs.plist
[2008.02.21 19:05:22 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2007.10.05 21:41:27 | 000,001,210 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\mdb.bin
[2007.06.30 15:07:18 | 000,024,206 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\UserTile.png
[2007.06.28 19:42:12 | 000,042,174 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\nvModes.001
[2007.06.28 19:42:11 | 000,042,174 | ---- | C] () -- C:\Users\Lars\AppData\Roaming\nvModes.dat
[2007.06.28 16:53:14 | 000,209,408 | ---- | C] () -- C:\Users\Lars\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006.11.02 14:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2008.11.06 14:57:06 | 011,315,712 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.03.03 06:16:12 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2006.11.02 11:46:13 | 000,348,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2009.11.17 19:52:38 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Academic Software Zurich
[2011.02.13 22:16:13 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Buhl Data Service
[2010.03.18 08:32:27 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Bytemobile
[2013.06.03 12:27:18 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Canneverbe Limited
[2010.08.01 22:38:58 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Canon
[2012.07.08 18:31:50 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\com.Rhapsody.Napster5
[2013.06.04 15:58:34 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Dropbox
[2010.09.27 16:20:05 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\gtk-2.0
[2007.06.30 23:13:52 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Leadertech
[2009.10.23 00:19:04 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\LimeWire
[2011.05.11 10:28:01 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\LyX2.0
[2009.06.18 23:21:30 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Mp3tag
[2011.01.07 10:03:24 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\NCH Swift Sound
[2009.04.08 10:33:24 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\OpenOffice.org
[2007.10.31 21:10:25 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\PeerNetworking
[2013.06.03 21:54:48 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Stardock
[2011.11.05 12:32:28 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\streamripper
[2009.12.10 09:33:12 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Sync App Settings
[2012.05.29 23:10:45 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\TeamViewer
[2010.01.26 01:21:03 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Thunderbird
[2010.03.18 08:32:27 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Vodafone
[2010.03.19 15:04:12 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\Vodafone Mobile Connect
[2012.03.03 23:33:45 | 000,000,000 | ---D | M] -- C:\Users\Lars\AppData\Roaming\YoWindow
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:DFC5A2B2

< End of report >

Viele Grüße!

aharonov · 04.06.2013, 20:09

Ok, wie läuft der Rechner jetzt?

Schritt 1

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

:OTL
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:DFC5A2B2

:commands
[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Öffne das Programm Malwarebytes Anti-Malware.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke auf Aktualisierung --> Suche nach Aktualisierung.
Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von MBAM
Log von ESET
Log von SecurityCheck

Mobeil · 05.06.2013, 09:17

Hallo Leo,
das war ja eine ganz schöne Menge Arbeit. Der PC läuft ohne irgendwelche Probleme.
Ich habe jedoch den Eindruck das der Bootvorgang etwas länger braucht als bisher.
Hier die geforderten Logfiles:

Fixlog von OTL:

Code:

ATTFilter

All processes killed
========== OTL ==========
ADS C:\ProgramData\TEMP:DFC5A2B2 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56545 bytes
 
User: Default User
 
User: Lars
->Temp folder emptied: 373258526 bytes
->Temporary Internet Files folder emptied: 72289967 bytes
->Java cache emptied: 55729125 bytes
->FireFox cache emptied: 59929844 bytes
->Google Chrome cache emptied: 22909985 bytes
->Flash cache emptied: 1661590 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 312329443 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 38365 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 7618493 bytes
RecycleBin emptied: 323561861 bytes
 
Total Files Cleaned = 1.172,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 06042013_214401

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Log von MBAM:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.06.04.08

Windows Vista x86 NTFS
Internet Explorer 8.0.6001.18882
Lars :: MUSTERMANN [Administrator]

04.06.2013 22:01:46
mbam-log-2013-06-04 (22-01-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 207538
Laufzeit: 6 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Log von ESET:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=e6aa857ffbe3ad4cbd743447991e15ca
# engine=13995
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-06-04 10:57:26
# local_time=2013-06-05 12:57:26 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.0.6000 NT 
# compatibility_mode=1799 16775165 100 97 8883 104550 1627 0
# compatibility_mode=5892 16776573 100 100 32485 207919374 0 0
# scanned=229547
# found=0
# cleaned=0
# scan_time=7864

Log von SecurityCheck:

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.64  
 Windows Vista  x86 (UAC is enabled)  
 Out of date service pack!! 
``````````````Antivirus/Firewall Check:`````````````` 
 WMI entry may not exist for antivirus; attempting automatic update. 
 Avira successfully updated! 
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java(TM) 6 Update 13  
 Java(TM) 6 Update 7  
 Java version out of Date! 
 Adobe Flash Player 	11.5.502.146  
 Adobe Reader 9 Adobe Reader out of Date! 
 Mozilla Firefox (21.0) 
 Mozilla Thunderbird (3.0.11) Thunderbird out of Date!  
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````

Wieder einmal vielen Dank und Grüße!

Mobeil

aharonov · 05.06.2013, 10:43

Hallo,

kommen wir noch zur Wurzel des ganzen Übels.
Dein System ist ganz stark outdated!
Mit solch alter Software im Internet zu surfen ist brandgefährlich - wie du ja selbst bemerken musstest. Es fehlen unter anderem beide Service Packs von Vista.

Schritt 1

Gehe bitte zu Start --> Alle Programme --> Windows Update.
Klicke dann links auf Nach Updates suchen und warte, bis die Suche beendet ist.
Drücke dann auf Updates installieren.
Starte nach Beendigung der Installation den Rechner neu auf.
Wiederhole diese Schritte, bis keine neuen Updates mehr verfügbar sind.

Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 21.

Gehe zu
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
Start --> Systemsteuerung --> Software (bei Win XP)
und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

Lade dir die neueste Java-Version herunter.
Schliesse alle laufenden Programme, speziell den Browser.
Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 3

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

Deinstalliere bitte deine aktuelle Version von Adobe Reader über
Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)
Besuche diese Seite von Adobe.
Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
Drücke auf Jetzt herunterladen und installiere die neuste Version.

Schritt 4

Dein Flashplayer ist veraltet. Installiere folgendermassen die aktuelle Version:

Besuche diese Seite von Adobe.
Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.

Schritt 5

Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Log von SecurityCheck

aharonov · 10.06.2013, 13:10

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Mobeil · 10.06.2013, 14:15

Hi Leo,
danke für deine Geduld.
Ich habe endlich alle erforderlichen Updates durchgeführt.
Beim Adobe Reader kann ich nur Version 10.1.4 installieren, die Version 11.0 ist auch über "Filepony" nicht erhältlich. Thunderbird ist auf dem Standardbenutzerkonto in der aktuellen Version (3.0).
Hier das log von Security Check:

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.64  
 Windows Vista Service Pack 2 x86 (UAC is enabled)  
 Internet Explorer 10  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!  (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Java 7 Update 21  
 Adobe Flash Player 	11.7.700.202  
 Adobe Reader 10.1.4 Adobe Reader out of Date!  
 Mozilla Firefox (21.0) 
 Mozilla Thunderbird (3.1.14) Thunderbird out of Date!  
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````

Der PC läuft übrigens weiterhin ohne Probleme oder Abstürze.

Viele Grüße!!

aharonov · 10.06.2013, 14:55

Hallo,

so sieht das schon viel besser aus.

Für Vista gibt es auch keine Version 11 vom Adobe Reader, ist ok so.
Aber Thunderbird ist bei mir 17.0.6 die aktuelle Version..

Dann räumen wir jetzt noch auf.

Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

Starte defogger und drücke den Button Re-enable.
Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
- Schliesse alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus.

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.

Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:

Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.

Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.

Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Es gibt kommerzielle Versionen, aber ein kostenloser Scanner mit den Grundfunktionen wie beispielsweise Avast! Free Antivirus sollte ausreichen. Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:

NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.

Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).

Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.

Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:

Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.

10.06.2013, 13:10	#13
aharonov /// TB-Ausbilder	Dateien "verschwinden" nach Download vom PC-ist Trojan.dropper.win32.injector die Ursache? Hi, ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe? Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos. __________________ cheers, Leo

Dateien "verschwinden" nach Download vom PC-ist Trojan.dropper.win32.injector die Ursache?

Log-Analyse und Auswertung: Dateien "verschwinden" nach Download vom PC-ist Trojan.dropper.win32.injector die Ursache?