| |
| |||||||
Log-Analyse und Auswertung: Win 7: Beim Anklicken von Google Links öffnen teilweise Werbeseiten, statt der Suchergebnisseiten.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.08.2013, 15:00
| #1 |
| |  Win 7: Beim Anklicken von Google Links öffnen teilweise Werbeseiten, statt der Suchergebnisseiten. Hallo fleißige Helfer und liebe Forumgemeinde, hoffentlich kann und wird mir jemand weiterhelfen können. Wenn ich nach einer Google-Suche auf die gefundenen Links klicke, werde ich manchmal auf irgendwelche Werbeseiten, statt der gefundenen Seiten geleitet. Bisher hatte ich schon Scans mit Aviara Free Antivirus (ergebnislos) und mit MBAM (zwei Logs, bei denen was gefunden wurde, stehen unten) durchgeführt. Natürlich nach einem Update des jeweiligen Programms. Inzwischen findet aber auch MBAM nichts mehr, das Problem besteht jedoch weiterhin. CC_Cleaner habe ich auch mal laufen und löschen lassen, fällt mir gerade ein, davon habe ich aber leider keine Log gespeichert. Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.08.04.03 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16635 o****** :: o******-PC [Administrator] 04.08.2013 17:33:27 mbam-log-2013-08-04 (17-33-27).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 214893 Laufzeit: 6 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 2 C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (PUP.Optional.SweetIM) -> 2764 -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe (PUP.Optional.SweetIM) -> 2944 -> Löschen bei Neustart. Infizierte Speichermodule: 12 C:\Program Files (x86)\SweetIM\Messenger\mgAdaptersProxy.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgUpdateSupport.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgsimcommon.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgcommon.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgcommunication.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mghooking.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgxml_wrapper.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgconfig.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\mgcommon.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\mgxml_wrapper.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\mgcommunication.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\mgsimcommon.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. Infizierte Registrierungsschlüssel: 9 HKCR\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{EEE6C358-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\SWEETIE.IEToolbar.1 (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\SWEETIE.IEToolbar (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Toolbar3.SWEETIE.1 (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Toolbar3.SWEETIE (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 3 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SweetIM (PUP.Optional.SweetIM) -> Daten: C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Sweetpacks Communicator (PUP.Optional.SweetIM) -> Daten: C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{EEE6C35B-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 23 C:\Program Files (x86)\SweetIM\Messenger\mgAdaptersProxy.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgUpdateSupport.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgsimcommon.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgcommon.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgcommunication.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mghooking.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgxml_wrapper.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Messenger\mgconfig.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\mgcommon.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\mgxml_wrapper.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\mgcommunication.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Communicator\mgsimcommon.dll (PUP.Optional.SweetIM) -> Löschen bei Neustart. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\o******\AppData\Local\Temp\bundlesweetimsetup.exe (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\o******\AppData\Local\Temp\mgsqlite3.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\o******\AppData\Local\Temp\Shortcut_bundlesweetimsetup.exe (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\o******\AppData\Local\Temp\2827278562\chromeupdaterfull.exe (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\17f50732.msi (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\17f50737.msi (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\17f5073c.msi (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\17f50741.msi (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.08.05.02 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16635 o****** :: o******-PC [Administrator] 05.08.2013 10:27:13 mbam-log-2013-08-05 (10-27-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P Deaktivierte Suchlaufeinstellungen: Durchsuchte Objekte: 366522 Laufzeit: 1 Stunde(n), 12 Minute(n), 44 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 10 HKCR\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A} (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19} (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{A439801C-961D-452C-AB42-7848E9CBD289} (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\MgMediaPlayer.GifAnimator.1 (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\MgMediaPlayer.GifAnimator (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\SweetIM_URLSearchHook.ToolbarURLSearchHook.1 (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\SweetIM_URLSearchHook.ToolbarURLSearchHook (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAM FILES (X86)\SWEETIM\TOOLBARS\INTERNET EXPLORER\MGHELPERAPP.EXE (PUP.Optional.SweetIM) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAM FILES (X86)\SWEETIM\TOOLBARS\INTERNET EXPLORER\MGTOOLBARPROXY.DLL (PUP.Optional.SweetIM) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 26 C:\Program Files (x86)\SweetIM\Communicator\resources\sqlite\mgSqlite3.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\ContentPackagesActivationHandler.exe (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgArchive.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgFlashPlayer.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgICQAuto.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgICQMessengerAdapter.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mglogger.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgMediaPlayer.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgMsnAuto.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgMsnMessengerAdapter.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgSweetIM.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgYahooAuto.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\mgYahooMessengerAdapter.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Messenger\resources\sqlite\mgSqlite3.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\ClearHist.exe (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgcommon.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgconfig.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mghooking.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mglogger.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgsimcommon.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarProxy.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgxml_wrapper.dll (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\SweetIM\Messenger\update\sweetimsetup.exe (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\o******\Downloads\Zips&Exes\flvplayer4free48_setup.exe (PUP.Optional.Somoto) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Hier die Logs: von defogger: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 14:48 on 06/08/2013 (Ohliger)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x64) Version: 05-08-2013 Ran by o****** at 2013-08-06 14:52:05 Running from C:\Users\o******\Desktop Boot Mode: Normal ========================================================== ==================== Installed Programs ======================= Acrobat.com (x32 Version: 1.6.65) Adobe AIR (x32 Version: 3.5.0.600) Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.224) Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224) Adobe Reader XI (11.0.03) - Deutsch (x32 Version: 11.0.03) Agatha Christie - Death on the Nile (x32 Version: 2.2.0.95) Alcor Micro USB Card Reader (x32 Version: 1.9.17.06019) Amazon MP3-Downloader 1.0.17 (x32 Version: 1.0.17) Amazon Music Importer (x32 Version: 2.0.1) AMD USB Filter Driver (x32 Version: 1.0.15.94) Apple Application Support (x32 Version: 2.3.4) Apple Mobile Device Support (Version: 6.1.0.13) Apple Software Update (x32 Version: 2.1.3.127) ATI Catalyst Install Manager (Version: 3.0.769.0) Avira Free Antivirus (x32 Version: 13.0.0.3885) Avira SearchFree Toolbar plus Web Protection (x32 Version: 12.2.2.663) Bejeweled 2 Deluxe (x32 Version: 2.2.0.95) BILDmobil (x32 Version: 16.001.06.00.761) Bing Bar (x32 Version: 7.1.361.0) Bonjour (Version: 3.0.0.10) Broadcom Gigabit NetLink Controller (Version: 14.2.4.2) Build-a-lot 2 (x32 Version: 2.2.0.95) Catalyst Control Center - Branding (x32 Version: 1.00.0000) Catalyst Control Center Core Implementation (x32 Version: 2010.0426.2136.36953) Catalyst Control Center Graphics Full Existing (x32 Version: 2010.0426.2136.36953) Catalyst Control Center Graphics Full New (x32 Version: 2010.0426.2136.36953) Catalyst Control Center Graphics Light (x32 Version: 2010.0426.2136.36953) Catalyst Control Center Graphics Previews Common (x32 Version: 2010.0426.2136.36953) Catalyst Control Center InstallProxy (x32 Version: 2010.0426.2136.36953) Catalyst Control Center Localization All (x32 Version: 2010.0426.2136.36953) CCC Help Chinese Standard (x32 Version: 2010.0426.2135.36953) CCC Help Chinese Traditional (x32 Version: 2010.0426.2135.36953) CCC Help Czech (x32 Version: 2010.0426.2135.36953) CCC Help Danish (x32 Version: 2010.0426.2135.36953) CCC Help Dutch (x32 Version: 2010.0426.2135.36953) CCC Help English (x32 Version: 2010.0426.2135.36953) CCC Help Finnish (x32 Version: 2010.0426.2135.36953) CCC Help French (x32 Version: 2010.0426.2135.36953) CCC Help German (x32 Version: 2010.0426.2135.36953) CCC Help Greek (x32 Version: 2010.0426.2135.36953) CCC Help Hungarian (x32 Version: 2010.0426.2135.36953) CCC Help Italian (x32 Version: 2010.0426.2135.36953) CCC Help Japanese (x32 Version: 2010.0426.2135.36953) CCC Help Korean (x32 Version: 2010.0426.2135.36953) CCC Help Norwegian (x32 Version: 2010.0426.2135.36953) CCC Help Polish (x32 Version: 2010.0426.2135.36953) CCC Help Portuguese (x32 Version: 2010.0426.2135.36953) CCC Help Russian (x32 Version: 2010.0426.2135.36953) CCC Help Spanish (x32 Version: 2010.0426.2135.36953) CCC Help Swedish (x32 Version: 2010.0426.2135.36953) CCC Help Thai (x32 Version: 2010.0426.2135.36953) CCC Help Turkish (x32 Version: 2010.0426.2135.36953) ccc-core-static (x32 Version: 2010.0426.2136.36953) ccc-utility64 (Version: 2010.0426.2136.36953) Chuzzle Deluxe (x32 Version: 2.2.0.95) Compatibility Pack für 2007 Office System (x32 Version: 12.0.6612.1000) Diner Dash 2 Restaurant Rescue (x32 Version: 2.2.0.95) eaner (Version: 4.04) eBay Worldwide (x32 Version: 2.1.0901) eMachines Game Console (x32) eMachines Games (x32 Version: 1.0.1.3) eMachines Power Management (x32 Version: 5.00.3005) eMachines Recovery Management (x32 Version: 4.05.3013) eMachines Registration (x32 Version: 1.03.3003) eMachines ScreenSaver (x32 Version: 1.1.0119.2010) eMachines Updater (x32 Version: 1.02.3001) EPSON Scan (x32) Farm Frenzy (x32 Version: 2.2.0.95) FATE (x32 Version: 2.2.0.95) Final Drive Nitro (x32 Version: 2.2.0.95) FLVPlayer4Free Free FLV Player 4.8.0.0 (x32) FreePDF (Remove only) (x32) GPL Ghostscript (x32 Version: 9.04) Identity Card (x32 Version: 1.00.3003) Insaniquarium Deluxe (x32 Version: 2.2.0.95) Internet Explorer Toolbar 4.6 by SweetPacks (x32 Version: 4.6.0004) iTunes (Version: 11.0.4.4) Java 7 Update 25 (x32 Version: 7.0.250) Java Auto Updater (x32 Version: 2.1.9.5) Java(TM) 6 Update 21 (x32 Version: 6.0.210) Jewel Quest Solitaire 2 (x32 Version: 2.2.0.95) John Deere Drive Green (x32 Version: 2.2.0.95) Junk Mail filter update (x32 Version: 14.0.8117.416) Langenscheidt Grammatiktrainer 6.0 Englisch (x32 Version: 01.00.00.00) Launch Manager (x32 Version: 4.0.14) lingDIALOG (x32 Version: 3.0908) Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300) Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319) Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319) Microsoft Application Error Reporting (Version: 12.0.6015.5000) Microsoft Choice Guard (x32 Version: 2.0.48.0) Microsoft Default Manager (x32 Version: 2.2.114.0) Microsoft Office 2010 (x32 Version: 14.0.4763.1000) Microsoft Office Live Add-in 1.5 (x32 Version: 2.0.4024.1) Microsoft Office XP Professional mit FrontPage (x32 Version: 10.0.6626.0) Microsoft Silverlight (Version: 5.1.20513.0) Microsoft SQL Server 2005 Compact Edition [ENU] (x32 Version: 3.1.0000) Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.61001) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (Version: 9.0.30729.4148) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161) Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (x32 Version: 9.0.21022) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (x32 Version: 9.0.30729) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (x32 Version: 9.0.30729.4148) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (Version: 10.0.40219) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219) Mozilla Firefox 22.0 (x86 de) (x32 Version: 22.0) Mozilla Maintenance Service (x32 Version: 22.0) Mozilla Thunderbird 17.0.7 (x86 de) (x32 Version: 17.0.7) MSVCRT (x32 Version: 14.0.1468.721) NTI Backup Now 5 (x32 Version: 5.1.2.630) NTI Backup Now Standard (x32 Version: 5.1.2.630) NTI Media Maker 8 (x32 Version: 8.0.12.6636) Penguins! (x32 Version: 2.2.0.95) PhotoImpression 5 (x32) Plants vs. Zombies (x32 Version: 2.2.0.95) Polar Bowler (x32 Version: 2.2.0.95) Polar Golfer (x32 Version: 2.2.0.95) PrintKey2000 (x32) Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 05-08-2013
Ran by o****** (administrator) on 06-08-2013 14:51:29
Running from C:\Users\o******\Desktop
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal
==================== Processes (Whitelisted) =================
(AMD) C:\Windows\system32\atiesrxx.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
() C:\ProgramData\DatacardService\DCService.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\dsiwmis.exe
(Acer Incorporated) C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe
(Acer Incorporated) C:\Program Files (x86)\eMachines\Registration\GREGsvc.exe
(Microsoft Corporation) C:\Program Files (x86)\Common Files\Microsoft Shared\VS7Debug\mdm.exe
(NTI, Inc.) C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
(Acer Group) C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe
(Huawei Technologies Co., Ltd.) C:\ProgramData\DatacardService\DCSHelper.exe
(Alcor Micro Corp.) C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
() C:\Windows\PLFSetI.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Acer Incorporated) C:\Program Files\eMachines\eMachines Power Management\ePowerTray.exe
(Fred's Software) C:\Program Files (x86)\PrintKey2000\Printkey2000.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\LManager.exe
(shbox.de) C:\Program Files (x86)\FreePDF_XP\fpassist.exe
(Apple Inc.) C:\Program Files (x86)\iTunes\iTunesHelper.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Acer Incorporated) C:\Program Files\eMachines\eMachines Power Management\ePowerEvent.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\MMDx64Fx.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\LMworker.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(APN LLC.) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe
(APN) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [AmIcoSinglun64] - C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe [324608 2010-06-10] (Alcor Micro Corp.)
HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11101800 2010-07-29] (Realtek Semiconductor)
HKLM\...\Run: [PLFSetI] - C:\Windows\PLFSetI.exe [206208 2010-06-09] ()
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1842472 2009-09-18] (Synaptics Incorporated)
HKLM\...\Run: [Acer ePower Management] - C:\Program Files\eMachines\eMachines Power Management\ePowerTray.exe [861216 2010-06-11] (Acer Incorporated)
HKCU\...\Run: [msnmsgr] - C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe [3872080 2010-04-16] (Microsoft Corporation)
HKCU\...\Run: [Iadjq] - C:\Users\o******\AppData\Roaming\KBDLV1D.dll [507392 2013-07-19] ()
HKCU\...\RunOnce: [FlashPlayerUpdate] - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_7_700_224_Plugin.exe -update plugin [814472 2013-06-12] (Adobe Systems Incorporated)
MountPoints2: {20035c5f-d9f9-11e1-ac67-206a8a266794} - E:\LaunchU3.exe -a
MountPoints2: {801c9bfc-15f7-11e2-accb-206a8a266794} - E:\AutoRun.exe
MountPoints2: {801c9bff-15f7-11e2-accb-206a8a266794} - E:\AutoRun.exe
MountPoints2: {801c9dde-15f7-11e2-accb-206a8a266794} - E:\AutoRun.exe
MountPoints2: {801c9de0-15f7-11e2-accb-206a8a266794} - E:\AutoRun.exe
HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [102400 2010-04-26] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [LManager] - C:\Program Files (x86)\Launch Manager\LManager.exe [975952 2010-08-11] (Dritek System Inc.)
HKLM-x32\...\Run: [Microsoft Default Manager] - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe [439568 2010-05-10] (Microsoft Corporation)
HKLM-x32\...\Run: [APSDaemon] - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM-x32\...\Run: [FreePDF Assistant] - C:\Program Files (x86)\FreePDF_XP\fpassist.exe [371200 2011-02-23] (shbox.de)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [QuickTime Task] - C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] - C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2013-05-31] (Apple Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [345144 2013-08-05] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [ApnTBMon] - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1558480 2013-07-26] (APN)
HKU\Default\...\RunOnce: [ScrSav] - C:\Program Files (x86)\eMachines\Screensaver\run_eMachines.exe [154144 2010-01-15] ()
HKU\Default User\...\RunOnce: [ScrSav] - C:\Program Files (x86)\eMachines\Screensaver\run_eMachines.exe [154144 2010-01-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
ShortcutTarget: Microsoft Office.lnk -> C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Printkey2000.lnk
ShortcutTarget: Printkey2000.lnk -> C:\Program Files (x86)\PrintKey2000\Printkey2000.exe (Fred's Software)
==================== Internet (Whitelisted) ====================
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://emachines.msn.com
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=AEMTDF&pc=MAEM&src=IE-SearchBox
SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=AEMTDF&pc=MAEM&src=IE-SearchBox
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: Avira SearchFree Toolbar plus Web Protection - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
BHO-x32: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\Microsoft\BingBar\7.1.361.0\BingExt.dll (Microsoft Corporation.)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM-x32 - Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\Microsoft\BingBar\7.1.361.0\BingExt.dll (Microsoft Corporation.)
Toolbar: HKLM-x32 - Avira SearchFree Toolbar plus Web Protection - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
Handler: msdaipp - No CLSID Value -
Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
Handler-x32: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files (x86)\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
Handler-x32: msdaipp - No CLSID Value -
Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
FireFox:
========
FF ProfilePath: C:\Users\o******\AppData\Roaming\Mozilla\Firefox\Profiles\zfz6t4x6.default
FF Homepage: hxxp://www.google.de/
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_224.dll ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 - C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin-x32: @java.com/DTPlugin,version=10.25.2 - C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.25.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files (x86)\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 - C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF Plugin-x32: @microsoft.com/WLPG,version=14.0.8117.0416 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: amazon.com/AmazonMP3DownloaderPlugin - C:\Program Files (x86)\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin101753.dll (Amazon.com, Inc.)
FF SearchPlugin: C:\Users\o******\AppData\Roaming\Mozilla\Firefox\Profiles\zfz6t4x6.default\searchplugins\sweetim.xml
FF Extension: No Name - C:\Users\o******\AppData\Roaming\Mozilla\Extensions\{a79fe89b-6662-4ff4-8e88-09950ad4dfde}
FF Extension: toolbar_AVIRA-V7 - C:\Users\o******\AppData\Roaming\Mozilla\Firefox\Profiles\zfz6t4x6.default\Extensions\toolbar_AVIRA-V7@apn.ask.com.xpi
FF Extension: No Name - C:\Users\o******\AppData\Roaming\Mozilla\Firefox\Profiles\zfz6t4x6.default\Extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
FF Extension: Default - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM-x32\...\Firefox\Extensions: [{3252b9ae-c69a-4eaf-9502-dc9c1f6c009e}] C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DMExtension\
FF Extension: Default Manager - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DMExtension\
==================== Services (Whitelisted) =================
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [84024 2013-08-05] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [108088 2013-08-05] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [589368 2013-08-05] (Avira Operations GmbH & Co. KG)
R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [168400 2013-07-26] (APN LLC.)
R2 DCService.exe; C:\ProgramData\DatacardService\DCService.exe [229376 2010-05-08] ()
R2 ePowerSvc; C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe [868896 2010-06-11] (Acer Incorporated)
S3 GameConsoleService; C:\Program Files (x86)\eMachines Games\eMachines Game Console\GameConsoleService.exe [246520 2010-04-04] (WildTangent, Inc.)
R2 GREGService; C:\Program Files (x86)\eMachines\Registration\GREGsvc.exe [23584 2010-01-08] (Acer Incorporated)
R2 NTISchedulerSvc; C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [144640 2010-04-17] (NTI, Inc.)
R2 Updater Service; C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe [243232 2010-01-29] (Acer Group)
==================== Drivers (Whitelisted) ====================
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [100712 2013-08-05] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [130016 2013-08-05] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-08-05] (Avira Operations GmbH & Co. KG)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-08-06 14:51 - 2013-08-06 14:51 - 00000000 ____D C:\FRST
2013-08-06 14:50 - 2013-08-06 14:50 - 01788685 _____ (Farbar) C:\Users\o******\Desktop\FRST64.exe
2013-08-06 14:48 - 2013-08-06 14:48 - 00050477 _____ C:\Users\o******\Desktop\Defogger.exe
2013-08-06 14:48 - 2013-08-06 14:48 - 00000476 _____ C:\Users\o******\Desktop\defogger_disable.log
2013-08-06 14:48 - 2013-08-06 14:48 - 00000000 _____ C:\Users\o******\defogger_reenable
2013-08-05 19:50 - 2013-05-02 02:06 - 00278800 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe
2013-08-05 19:39 - 2013-08-05 19:39 - 00000000 ____D C:\Users\o******\AppData\Roaming\Avira
2013-08-05 19:36 - 2013-08-05 19:36 - 00083672 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys
2013-08-05 19:35 - 2013-08-05 19:35 - 00000000 ____D C:\ProgramData\AskPartnerNetwork
2013-08-05 19:35 - 2013-08-05 19:35 - 00000000 ____D C:\ProgramData\APN
2013-08-05 19:35 - 2013-08-05 19:35 - 00000000 ____D C:\Program Files (x86)\AskPartnerNetwork
2013-08-05 19:34 - 2013-06-06 22:41 - 00489392 _____ (Ask Partner Network) C:\Users\o******\Documents\APNSetup.exe
2013-08-05 19:33 - 2013-08-05 19:34 - 00000000 ____D C:\ProgramData\Avira
2013-08-05 19:33 - 2013-08-05 19:33 - 00000000 ____D C:\Program Files (x86)\Avira
2013-08-05 19:33 - 2013-08-05 19:29 - 00130016 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2013-08-05 19:33 - 2013-08-05 19:29 - 00100712 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2013-08-05 19:33 - 2013-08-05 19:29 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys
2013-08-05 16:39 - 2013-08-05 16:39 - 00003206 _____ C:\Windows\System32\Tasks\{0E9428E9-8FFE-4641-95FB-8BB9E703B29F}
2013-08-05 11:42 - 2013-08-05 19:31 - 00008682 _____ C:\Windows\PFRO.log
2013-08-05 11:42 - 2013-08-05 19:31 - 00000112 _____ C:\Windows\setupact.log
2013-08-05 11:42 - 2013-08-05 11:42 - 00000000 _____ C:\Windows\setuperr.log
2013-08-05 10:14 - 2013-08-05 10:14 - 00002776 _____ C:\Windows\System32\Tasks\CCleanerSkipUAC
2013-08-05 10:14 - 2013-08-05 10:14 - 00000000 ____D C:\Program Files\CCleaner
2013-08-04 17:53 - 2013-08-04 17:53 - 00263592 _____ (Oracle Corporation) C:\Windows\SysWOW64\javaws.exe
2013-08-04 17:53 - 2013-08-04 17:53 - 00096168 _____ (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2013-08-04 13:44 - 2013-08-04 13:44 - 00000000 ____D C:\Users\o******\Documents\Steuersparer
2013-07-21 15:25 - 2013-08-06 06:47 - 00024064 _____ C:\Users\o******\Desktop\Geburtstagsliste Christina.xls
2013-07-19 01:16 - 2013-07-19 01:16 - 00507392 __RSH C:\Users\o******\AppData\Roaming\KBDLV1D.dll
2013-07-15 05:48 - 2013-07-15 05:50 - 00000000 ____D C:\Windows\system32\MRT
2013-07-11 08:46 - 2013-06-12 01:43 - 00690688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-07-11 08:46 - 2013-06-12 01:43 - 00493056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-07-11 08:46 - 2013-06-12 01:42 - 02046976 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-07-11 08:46 - 2013-06-12 01:42 - 00391168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-07-11 08:46 - 2013-06-12 01:42 - 00109056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2013-07-11 08:46 - 2013-06-12 01:42 - 00061440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2013-07-11 08:46 - 2013-06-12 01:42 - 00033280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2013-07-11 08:46 - 2013-06-12 01:26 - 00051712 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-07-11 08:46 - 2013-06-12 01:25 - 02648576 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-11 08:46 - 2013-06-12 01:25 - 00855552 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-07-11 08:46 - 2013-06-12 01:25 - 00603136 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-11 08:46 - 2013-06-12 01:25 - 00526336 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-11 08:46 - 2013-06-12 01:25 - 00136704 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-07-11 08:46 - 2013-06-12 01:25 - 00067072 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-07-11 08:46 - 2013-06-12 01:25 - 00039936 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-07-11 08:46 - 2013-06-12 00:51 - 00071680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2013-07-11 08:46 - 2013-06-12 00:50 - 00089600 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2013-07-11 08:46 - 2013-06-07 05:22 - 02706432 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-11 08:46 - 2013-06-07 04:37 - 02706432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-07-11 08:45 - 2013-06-12 01:43 - 14329856 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-07-11 08:45 - 2013-06-12 01:43 - 02877440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-07-11 08:45 - 2013-06-12 01:43 - 01767936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-07-11 08:45 - 2013-06-12 01:43 - 01141248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-07-11 08:45 - 2013-06-12 01:43 - 00039424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-07-11 08:45 - 2013-06-12 01:42 - 13760512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-07-11 08:45 - 2013-06-12 01:26 - 02241024 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-11 08:45 - 2013-06-12 01:26 - 01365504 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-11 08:45 - 2013-06-12 01:25 - 19238912 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-11 08:45 - 2013-06-12 01:25 - 15404032 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-11 08:45 - 2013-06-12 01:25 - 03958784 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-07-11 08:45 - 2013-06-12 01:25 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-10 19:27 - 2013-06-05 05:34 - 03153920 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-10 19:27 - 2013-06-04 08:00 - 00624128 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-10 19:27 - 2013-06-04 06:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\qedit.dll
2013-07-10 19:27 - 2013-05-06 08:03 - 01887744 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-07-10 19:27 - 2013-05-06 06:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WMVDECOD.DLL
2013-07-10 19:27 - 2013-04-10 01:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2013-07-10 19:27 - 2013-04-03 00:51 - 01643520 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
==================== One Month Modified Files and Folders =======
2013-08-06 14:51 - 2013-08-06 14:51 - 00000000 ____D C:\FRST
2013-08-06 14:50 - 2013-08-06 14:50 - 01788685 _____ (Farbar) C:\Users\o******\Desktop\FRST64.exe
2013-08-06 14:48 - 2013-08-06 14:48 - 00050477 _____ C:\Users\o******\Desktop\Defogger.exe
2013-08-06 14:48 - 2013-08-06 14:48 - 00000476 _____ C:\Users\o******\Desktop\defogger_disable.log
2013-08-06 14:48 - 2013-08-06 14:48 - 00000000 _____ C:\Users\o******\defogger_reenable
2013-08-06 14:48 - 2012-07-01 15:53 - 00000000 ____D C:\Users\o******
2013-08-06 14:42 - 2013-04-19 23:04 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-06 11:12 - 2012-07-01 14:23 - 01109537 _____ C:\Windows\WindowsUpdate.log
2013-08-06 07:49 - 2012-07-02 05:24 - 00000000 ___RD C:\Users\o******\Documents\Harald
2013-08-06 06:47 - 2013-07-21 15:25 - 00024064 _____ C:\Users\o******\Desktop\Geburtstagsliste Christina.xls
2013-08-05 19:39 - 2013-08-05 19:39 - 00000000 ____D C:\Users\o******\AppData\Roaming\Avira
2013-08-05 19:39 - 2009-07-14 06:45 - 00017376 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-05 19:39 - 2009-07-14 06:45 - 00017376 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-05 19:36 - 2013-08-05 19:36 - 00083672 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys
2013-08-05 19:35 - 2013-08-05 19:35 - 00000000 ____D C:\ProgramData\AskPartnerNetwork
2013-08-05 19:35 - 2013-08-05 19:35 - 00000000 ____D C:\ProgramData\APN
2013-08-05 19:35 - 2013-08-05 19:35 - 00000000 ____D C:\Program Files (x86)\AskPartnerNetwork
2013-08-05 19:34 - 2013-08-05 19:33 - 00000000 ____D C:\ProgramData\Avira
2013-08-05 19:33 - 2013-08-05 19:33 - 00000000 ____D C:\Program Files (x86)\Avira
2013-08-05 19:31 - 2013-08-05 11:42 - 00008682 _____ C:\Windows\PFRO.log
2013-08-05 19:31 - 2013-08-05 11:42 - 00000112 _____ C:\Windows\setupact.log
2013-08-05 19:31 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-05 19:29 - 2013-08-05 19:33 - 00130016 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2013-08-05 19:29 - 2013-08-05 19:33 - 00100712 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2013-08-05 19:29 - 2013-08-05 19:33 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys
2013-08-05 16:39 - 2013-08-05 16:39 - 00003206 _____ C:\Windows\System32\Tasks\{0E9428E9-8FFE-4641-95FB-8BB9E703B29F}
2013-08-05 16:39 - 2012-07-01 15:58 - 00000000 ____D C:\Users\o******\Downloads\Zips&Exes
2013-08-05 16:36 - 2012-07-01 15:53 - 00000000 ____D C:\Users\o******\AppData\Local\VirtualStore
2013-08-05 11:42 - 2013-08-05 11:42 - 00000000 _____ C:\Windows\setuperr.log
2013-08-05 10:20 - 2012-11-04 06:44 - 00000000 ____D C:\Users\o******\Tracing
2013-08-05 10:19 - 2013-01-01 12:50 - 00000000 ____D C:\Windows\Minidump
2013-08-05 10:19 - 2009-07-27 22:41 - 00000000 ____D C:\Windows\Panther
2013-08-05 10:14 - 2013-08-05 10:14 - 00002776 _____ C:\Windows\System32\Tasks\CCleanerSkipUAC
2013-08-05 10:14 - 2013-08-05 10:14 - 00000000 ____D C:\Program Files\CCleaner
2013-08-04 17:53 - 2013-08-04 17:53 - 00263592 _____ (Oracle Corporation) C:\Windows\SysWOW64\javaws.exe
2013-08-04 17:53 - 2013-08-04 17:53 - 00096168 _____ (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2013-08-04 17:53 - 2013-04-19 21:04 - 00175016 _____ (Oracle Corporation) C:\Windows\SysWOW64\javaw.exe
2013-08-04 17:53 - 2013-04-19 21:04 - 00175016 _____ (Oracle Corporation) C:\Windows\SysWOW64\java.exe
2013-08-04 17:53 - 2012-08-27 16:54 - 00867240 _____ (Oracle Corporation) C:\Windows\SysWOW64\npDeployJava1.dll
2013-08-04 17:53 - 2012-08-21 19:23 - 00789416 _____ (Oracle Corporation) C:\Windows\SysWOW64\deployJava1.dll
2013-08-04 17:30 - 2012-07-02 19:25 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-08-04 14:19 - 2012-07-27 16:02 - 00000842 _____ C:\Windows\wiso.ini
2013-08-04 13:44 - 2013-08-04 13:44 - 00000000 ____D C:\Users\o******\Documents\Steuersparer
2013-08-04 13:31 - 2013-03-23 17:40 - 00000000 ____D C:\Program Files (x86)\Steuersparer 2013
2013-08-04 13:31 - 2012-07-27 15:56 - 00000000 ____D C:\ProgramData\Buhl Data Service GmbH
2013-08-04 06:23 - 2012-07-02 00:15 - 00654340 _____ C:\Windows\system32\perfh007.dat
2013-08-04 06:23 - 2012-07-02 00:15 - 00130180 _____ C:\Windows\system32\perfc007.dat
2013-08-04 06:23 - 2009-07-14 07:13 - 01498506 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-19 01:16 - 2013-07-19 01:16 - 00507392 __RSH C:\Users\o******\AppData\Roaming\KBDLV1D.dll
2013-07-15 05:50 - 2013-07-15 05:48 - 00000000 ____D C:\Windows\system32\MRT
2013-07-11 09:11 - 2009-07-14 06:45 - 00300016 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-11 09:09 - 2013-03-14 07:12 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-07-11 09:09 - 2013-03-14 07:12 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2013-07-11 09:09 - 2012-07-01 16:51 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-07-11 09:08 - 2010-09-09 22:29 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-11 09:08 - 2009-07-14 07:32 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-11 09:08 - 2009-07-14 07:32 - 00000000 ____D C:\Program Files (x86)\Windows Defender
2013-07-09 23:22 - 2012-11-20 21:44 - 00000000 ____D C:\Users\o******\Documents\tIFFI
2013-07-07 14:53 - 2012-08-27 20:26 - 00000000 ____D C:\Users\o******\AppData\Local\FreePDF_XP
==================== Bamital & volsnap Check =================
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
LastRegBack: 2013-08-04 09:15
==================== End Of Log ============================
Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-08-06 15:33:50
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 TOSHIBA_MK3265GSX rev.GJ002J 298,09GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\o******\AppData\Local\Temp\kgliyfog.sys
---- Kernel code sections - GMER 2.1 ----
INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 560 fffff80003006000 45 bytes [00, 00, 00, 00, 00, 00, 00, ...]
INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 607 fffff8000300602f 23 bytes [00, 00, 10, 00, 00, 00, 00, ...]
---- User code sections - GMER 2.1 ----
.text C:\Program Files (x86)\Common Files\Microsoft Shared\VS7Debug\mdm.exe[1132] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075df1465 2 bytes [DF, 75]
.text C:\Program Files (x86)\Common Files\Microsoft Shared\VS7Debug\mdm.exe[1132] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000075df14bb 2 bytes [DF, 75]
.text ... * 2
.text C:\Windows\PLFSetI.exe[2572] C:\Windows\SysWOW64\ksuser.dll!KsCreatePin + 35 000000006fda11a8 2 bytes [DA, 6F]
.text C:\Windows\PLFSetI.exe[2572] C:\Windows\SysWOW64\ksuser.dll!KsCreateAllocator + 21 000000006fda13a8 2 bytes [DA, 6F]
.text C:\Windows\PLFSetI.exe[2572] C:\Windows\SysWOW64\ksuser.dll!KsCreateClock + 21 000000006fda1422 2 bytes [DA, 6F]
.text C:\Windows\PLFSetI.exe[2572] C:\Windows\SysWOW64\ksuser.dll!KsCreateTopologyNode + 19 000000006fda1498 2 bytes [DA, 6F]
.text C:\Windows\PLFSetI.exe[2572] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 195 0000000072f41b41 2 bytes [F4, 72]
.text C:\Windows\PLFSetI.exe[2572] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 362 0000000072f41be8 2 bytes [F4, 72]
.text C:\Windows\PLFSetI.exe[2572] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 418 0000000072f41c20 2 bytes [F4, 72]
.text C:\Windows\PLFSetI.exe[2572] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 596 0000000072f41cd2 2 bytes [F4, 72]
.text C:\Windows\PLFSetI.exe[2572] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 628 0000000072f41cf2 2 bytes [F4, 72]
.text C:\Program Files (x86)\Launch Manager\LManager.exe[2996] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075df1465 2 bytes [DF, 75]
.text C:\Program Files (x86)\Launch Manager\LManager.exe[2996] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075df14bb 2 bytes [DF, 75]
.text ... * 2
.text C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe[5056] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075df1465 2 bytes [DF, 75]
.text C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe[5056] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075df14bb 2 bytes [DF, 75]
.text ... * 2
---- Threads - GMER 2.1 ----
Thread C:\Windows\SysWOW64\rundll32.exe [2368:1728] 00000000001ff2a0
Thread C:\Windows\SysWOW64\rundll32.exe [2368:1732] 0000000000103a80
Thread C:\Windows\SysWOW64\rundll32.exe [2368:3172] 0000000000103a10
Thread C:\Windows\SysWOW64\rundll32.exe [2368:3416] 0000000000d096b7
Thread C:\Windows\SysWOW64\rundll32.exe [2368:3384] 0000000000d06874
Thread C:\Windows\SysWOW64\rundll32.exe [2368:3668] 0000000000d06dbc
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations ???m?.??? ???????m???????????j?0????????4???????????? ???????n???????? ????,?????? ?\?(?????LN??????usbhub?????????m????? ???????m?????m???????0????????????????????? ???????m???????????j?0????????????????????@%systemroot%\system32\browser.dll,-103??????????&?????m????? ???????m?????m???????0?????????????????????m?m?m?m?m?mt???????????????????? ???????m???????????j?0????????"???????????\SystemRoot\system32\DRIVERS\arcsas.sys?RA?????m????? ???????m?????m???????0????????????????????? ???????m???????????j?0????????????????????CD/DVD File System Reader???tunnel???????~?~???????m??????r??????c??????p\???m??????????????? ???????m?????m???????0????????????????????? ???????m???????????j?0????????????????????\SystemRoot\system32\DRIVERS\arc.sys?/?????m????? ???????m?????m???????0????????????????????? ?m???m???m???m???m???m???m???m???m???m????????? ???????m???????????j?0????????????????????Boot File System???????m????? ???????m?????m???????0????????????????????? ???????m???????????j?0?????????????????????h??os?????????
---- EOF - GMER 2.1 ----
Hoffentlich kann und wird mir jemand helfen. Vielen Dank auf jeden Fall bereits vorab für Eure Mühen und schöne Grüße Borris |
| Themen zu Win 7: Beim Anklicken von Google Links öffnen teilweise Werbeseiten, statt der Suchergebnisseiten. |
| administrator, antivirus, bingbar, branding, explorer, falsche seiten bei google, farbar, farbar recovery scan tool, flash player, home, homepage, opera, plug-in, pup.optional.somoto, pup.optional.sweetim, pup.optional.sweetpacks, registry, services.exe, svchost.exe, temp, tunnel, win32/ponmocup.aa, win32/ponmocup.he, windows 7, winlogon.exe |
Baum-Darstellung