Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien

Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien


Plagegeister aller Art und deren Bekämpfung: Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 07.09.2013, 18:03   #1
Kaiza
 
Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien - Standard

Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien


Guten Abend allerseits,

Vor einigen wenigen Tagen brachte ein Bekannter seinen Laptop bei mir vorbei, weil der Verdacht auf eine Virusinfektion vorlag. Grund zu dieser Annahme waren Scanergebnise von AVG Internet Security (Logfile folgt unten). AVG entdeckte mehrere schädliche Dateien in Windows/system32/drivers. Das Programm gab an, dass diese gelöscht wurden und das Problem erledigt sei. Allerdings tauchten an jedem der nachfolgenden 4 oder 5 Tage bei Scans von AVG weitere vermeintlich schädliche Dateien auf, die den zuvor gelöschten sehr ähnlich waren. Es handelte sich hier ebenfalls um *.sys Dateien im selben Ordner, welche mit den gleichen Anfangsbuchstaben ("sp") anfangen, der Rest des Dateinamen allerdings leicht abweicht. Diese Dateien waren scheinbar neu und wurden zuvor nicht gefunden.Alle betroffenen Dateien wurden von AVG gelöscht.
Bei den Scans der nachfolgenden Tage tauchten beim AVG-Scan, nach den beschriebenen Berichten keine Alarmmeldungen mehr auf.
Innerhalb des Zeitraums der auftretenden Meldungen ist laut des Besitzers des Laptops sein gesamtes Administrator-Benutzerkonto verschwunden. (Dies geschah bevor er mir den Laptop brachte. Somit habe ich nichts genaueres als seine Aussage ^^)
Der Laptop wird vom Besitzer auch für online Banking etc. genutzt und sollte deshalb natürlich sicher sein.
Normalerweise hätte ich den Ansatz verfolgt C: zu formatieren und Windows neu zu installieren. Allerdings hatte ich bedenken wie sicher dieser Ansatz ist. Da auf der Festplatte eine gefüllte Datenpartition vorhanden ist und ich mir nicht sicher war, ob diese evtl auch befallen sein könnte. Immerhin wurden anscheinend neue Dateien im win Ordner erzeugt. Wieso also nicht auch auf der anderen Partition?!, dachte ich mir. Bitte informiert mich, falls diese Bedenken unbegründet sind ^^

Mit diesem Post hoffe ich Hilfe von Experten zu finden, die sich meine Logfiles anschauen und mir Entwarnung geben können, oder aber auch Hilfestellung bei der Beseitigung der "Bedrohung" leisten können.

AVG Logfile:
Code:
ATTFilter
Gesamten Computer scannen
Mittlere Priorität;"5";"5";"0"
Ausgewählte Ordner:;"Gesamten Computer scannen"
Gestartet:;"17.08.2013, 13:59:50"
Beendet:;"17.08.2013, 14:16:36"
Gescannter Objekte:;"974127"
Benutzer:;"Peter"

Status;"Priorität";"Name";"Beschreibung";"Ergebnis"
Geheilt;"Mittel";"atapi.sys, Import-Hook ataport.SYS AtaPortReadPortBufferUshort -> spio.sys +0x213E";"C:\Windows\System32\Drivers\spio.sys";"Gesichert"
Geheilt;"Mittel";"atapi.sys, Import-Hook ataport.SYS AtaPortWritePortUchar -> spio.sys +0x26D6";"C:\Windows\System32\Drivers\spio.sys";"Gesichert"
Geheilt;"Mittel";"Inline-Hook ataport.SYS DllUnload -> spio.sys +0x299FE";"C:\Windows\System32\Drivers\spio.sys";"Gesichert"
Geheilt;"Mittel";"atapi.sys, Import-Hook ataport.SYS AtaPortWritePortBufferUshort -> spio.sys +0x2800";"C:\Windows\System32\Drivers\spio.sys";"Gesichert"
Geheilt;"Mittel";"atapi.sys, Import-Hook ataport.SYS AtaPortReadPortUchar -> spio.sys +0x2042";"C:\Windows\System32\Drivers\spio.sys";"Gesichert"
Wie in der Beschreibung des Problems zu lesen, sollten eigentlich ca. 5 Berichte mit Funden existieren. Allerdings hat AVG allem Anschein nach ältere Berichte gelöscht. Weshalb ich nur diesen einen posten kann -.-
Wie beschrieben sahen die vorherigen Berichte sehr ähnlich aus: Es wurden 3-5 schädliche Dateien entdeckt, immer im selben Ordner, allesamt *.sys Dateien mit gleichen Anfangsbuchstaben ("sp") und 2-3 weiteren Buchstaben im Dateinamen. Die Beschreibung sah der obrigen immer sehr ähnlich.... hauptsächlich die leicht geänderten Namen der Dateien schienen abzuweichen.

Dies ist mein erster Post auf Trojaner-Board.de, ich hoffe ich habe alle Vorgaben eingehalten, falls nicht, weisst mich bitte daraufhin ^^

Vielen Dank fürs Lesen. Ich würde mich sehr freuen wenn ihr Zeit und Muse finden könntet mir zu helfen

Gruz
Andreas




Defogger brachte keine Fehlermeldung:
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:03 on 06/09/2013 (SYSTEM)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-


Sytemscan mit FRST:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-09-2013
Ran by Peter (administrator) on PETER-PC on 06-09-2013 19:09:40
Running from G:\
Microsoft Windows 7 Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(AVG Technologies CZ, s.r.o.) C:\PROGRA~1\AVG\AVG2013\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgcsrvx.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgidsagent.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgwdsvc.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgnsx.exe
() C:\Program Files\Winamp\winampa.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Brother Industries, Ltd.) C:\Program Files\Browny02\Brother\BrStMonW.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgui.exe
(Brother Industries, Ltd.) C:\Program Files\Browny02\BrYNSvc.exe
(Microsoft Corporation) C:\Windows\system32\AUDIODG.EXE

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [WinampAgent] - C:\Program Files\Winamp\winampa.exe [37888 2009-07-01] ()
HKLM\...\Run: [GrooveMonitor] - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [BrStsMon00] - C:\Program Files\Browny02\Brother\BrStMonW.exe [2621440 2010-06-10] (Brother Industries, Ltd.)
HKLM\...\Run: [AVG_UI] - C:\Program Files\AVG\AVG2013\avgui.exe [4411440 2013-07-01] (AVG Technologies CZ, s.r.o.)

==================== Internet (Whitelisted) ====================

SearchScopes: HKLM - DefaultScope value is missing.
BHO: GMX Konfiguration - {17166733-40EA-4432-A85C-AE672FF0E236} - C:\ProgramData\1und1InternetExplorerAddon\BHOXML.dll (1&1 Mail & Media GmbH)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO: GMX Toolbar BHO - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Program Files\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} -  No File
Toolbar: HKLM - GMX Toolbar - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Program Files\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
Handler: gmx - {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Program Files\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Winsock: Catalog5 05 C:\Program Files\Bonjour\mdnsNSP.dll [147456] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Windows\system32\config\systemprofile\AppData\Roaming\Mozilla\Firefox\Profiles\kecvy78r.default
FF NewTab: chrome://unitedtb/content/newtab/newtab-page.xhtml
FF Homepage: hxxp://www.google.de/
FF NetworkProxy: "type", 0
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @divx.com/DivX Browser Plugin,version=1.0.0 - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 - C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin: @microsoft.com/GENUINE - disabled No File
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF Plugin: @real.com/nppl3260;version=6.0.12.449 - C:\Program Files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprpjplug;version=6.0.12.448 - C:\Program Files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml
FF Extension: No Name - C:\Windows\system32\config\systemprofile\AppData\Roaming\Mozilla\Firefox\Profiles\kecvy78r.default\Extensions\staged
FF Extension: New tab - C:\Windows\system32\config\systemprofile\AppData\Roaming\Mozilla\Firefox\Profiles\kecvy78r.default\Extensions\{BEDE8FDA-31F3-39E8-D5D6-AFFA6A9933D5}
FF Extension: toolbar - C:\Windows\system32\config\systemprofile\AppData\Roaming\Mozilla\Firefox\Profiles\kecvy78r.default\Extensions\toolbar@gmx.net.xpi
FF Extension: Skype extension for Firefox - C:\Program Files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}

Chrome: 
=======
CHR DefaultSearchURL: (Google) - {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}{google:omniboxStartMarginParameter}ie={inputEncoding}
CHR DefaultSuggestURL: (Google) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter}
CHR Extension: (Google Docs) - C:\Windows\system32\config\SYSTEM~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.5_0
CHR Extension: (Google Drive) - C:\Windows\system32\config\SYSTEM~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.3_0
CHR Extension: (YouTube) - C:\Windows\system32\config\SYSTEM~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.6_0
CHR Extension: (Google Search) - C:\Windows\system32\config\SYSTEM~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.20_0
CHR Extension: (Chrome In-App Payments service) - C:\Windows\system32\config\SYSTEM~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda\0.0.4.10_0
CHR Extension: (Gmail) - C:\Windows\system32\config\SYSTEM~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_2

========================== Services (Whitelisted) =================

R2 Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [144672 2009-08-28] (Apple Inc.)
S3 AVG Security Toolbar Service; C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe [167264 2011-11-10] ()
R2 AVGIDSAgent; C:\Program Files\AVG\AVG2013\avgidsagent.exe [4939312 2013-07-04] (AVG Technologies CZ, s.r.o.)
R2 avgwd; C:\Program Files\AVG\AVG2013\avgwdsvc.exe [283136 2013-07-23] (AVG Technologies CZ, s.r.o.)
R3 BrYNSvc; C:\Program Files\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.)
S2 vToolbarUpdater15.5.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.5.0\ToolbarUpdater.exe [x]

==================== Drivers (Whitelisted) ====================

R1 AVGIDSDriver; C:\Windows\System32\DRIVERS\avgidsdriverx.sys [208184 2013-07-20] (AVG Technologies CZ, s.r.o.)
R0 AVGIDSHX; C:\Windows\System32\DRIVERS\avgidshx.sys [60216 2013-07-20] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSShim; C:\Windows\System32\DRIVERS\avgidsshimx.sys [22328 2013-03-01] (AVG Technologies CZ, s.r.o.)
R1 Avgldx86; C:\Windows\System32\DRIVERS\avgldx86.sys [171320 2013-07-20] (AVG Technologies CZ, s.r.o.)
R0 Avglogx; C:\Windows\System32\DRIVERS\avglogx.sys [246072 2013-07-20] (AVG Technologies CZ, s.r.o.)
R0 Avgmfx86; C:\Windows\System32\DRIVERS\avgmfx86.sys [96568 2013-07-01] (AVG Technologies CZ, s.r.o.)
R0 Avgrkx86; C:\Windows\System32\DRIVERS\avgrkx86.sys [39224 2013-07-10] (AVG Technologies CZ, s.r.o.)
R1 Avgtdix; C:\Windows\System32\DRIVERS\avgtdix.sys [182072 2013-03-21] (AVG Technologies CZ, s.r.o.)
R1 avgtp; C:\Windows\system32\drivers\avgtpx86.sys [37664 2013-08-14] (AVG Technologies)
R0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-14] (Microsoft Corporation)
S3 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [7168 2009-09-28] ()

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-09-06 19:09 - 2013-09-06 19:09 - 00000000 _____ C:\Windows\system32\config\systemprofile\defogger_reenable
2013-09-04 20:26 - 2013-09-04 20:26 - 00000626 _____ C:\Windows\system32\config\systemprofile\Desktop\JRT.txt
2013-09-04 19:40 - 2013-09-04 19:40 - 00000000 ____D C:\Windows\ERUNT
2013-09-04 19:28 - 2013-09-06 19:07 - 00000000 ____D C:\Windows\system32\config\systemprofile\Desktop\Neuer Ordner
2013-09-04 19:28 - 2013-09-04 20:10 - 00000000 ____D C:\AdwCleaner
2013-09-04 18:40 - 2013-09-04 18:40 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Roaming\Malwarebytes
2013-09-04 18:40 - 2013-09-04 18:40 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-09-04 18:40 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-09-04 18:39 - 2013-09-04 18:38 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Windows\system32\config\systemprofile\Desktop\mbam-setup-1.75.0.1300.exe
2013-09-04 18:36 - 2013-09-04 18:21 - 02237968 _____ (Kaspersky Lab ZAO) C:\Windows\system32\config\systemprofile\Desktop\tdsskiller2.8.18.0.exe
2013-09-04 18:33 - 2013-09-04 18:33 - 00000000 ____D C:\TDSSKiller_Quarantine
2013-09-04 18:03 - 2013-09-04 18:03 - 00008051 _____ C:\Windows\system32\config\systemprofile\Desktop\hijackthis.log
2013-09-04 18:02 - 2013-09-04 17:57 - 00388608 _____ (Trend Micro Inc.) C:\Windows\system32\config\systemprofile\Desktop\HiJackThis204.exe
2013-08-28 22:19 - 2013-08-28 22:19 - 01624064 _____ (Bandoo Media Inc) C:\Windows\system32\config\systemprofile\Downloads\iLividSetup-r484-n-bf.exe
2013-08-24 11:50 - 2013-08-24 11:50 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Roaming\Macromedia
2013-08-24 11:50 - 2013-08-24 11:50 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Local\Macromedia
2013-08-24 11:48 - 2013-09-03 19:27 - 00000000 ____D C:\Windows\system32\cache
2013-08-24 11:48 - 2013-08-24 11:49 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Roaming\Mozilla
2013-08-24 11:48 - 2013-08-24 11:48 - 00114672 _____ C:\Windows\system32\config\systemprofile\AppData\Local\GDIPFONTCACHEV1.DAT
2013-08-24 11:48 - 2013-08-24 11:48 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Local\Mozilla
2013-08-24 11:47 - 2013-08-24 12:25 - 00002217 _____ C:\Windows\system32\config\systemprofile\Desktop\Google Chrome.lnk
2013-08-24 11:47 - 2013-08-24 11:47 - 00001437 _____ C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-08-24 11:47 - 2013-08-24 11:47 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2013-08-14 21:04 - 2013-08-14 21:06 - 00000000 ____D C:\Windows\system32\MRT
2013-08-14 20:58 - 2013-07-26 05:13 - 01767936 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-08-14 20:58 - 2013-07-26 05:13 - 01141248 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-08-14 20:58 - 2013-07-26 05:13 - 00042496 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-08-14 20:58 - 2013-07-26 05:12 - 14329344 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-08-14 20:58 - 2013-07-26 05:12 - 02877440 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-08-14 20:58 - 2013-07-26 05:12 - 02048512 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-08-14 20:58 - 2013-07-26 05:12 - 00690688 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-08-14 20:58 - 2013-07-26 05:12 - 00493056 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-08-14 20:58 - 2013-07-26 05:12 - 00391168 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-08-14 20:58 - 2013-07-26 05:12 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-08-14 20:58 - 2013-07-26 05:12 - 00061440 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-08-14 20:58 - 2013-07-26 05:12 - 00039936 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-08-14 20:58 - 2013-07-26 05:11 - 13761024 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-08-14 20:58 - 2013-07-26 05:11 - 00033280 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-08-14 20:58 - 2013-07-26 04:49 - 02706432 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-08-14 20:58 - 2013-07-26 03:59 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2013-08-14 20:35 - 2013-07-25 10:57 - 01620992 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-08-14 20:35 - 2013-07-09 07:03 - 03968960 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-08-14 20:35 - 2013-07-09 07:03 - 03913664 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-08-14 20:35 - 2013-07-09 06:53 - 01289096 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2013-08-14 20:35 - 2013-07-09 06:52 - 00175104 _____ (Microsoft Corporation) C:\Windows\system32\wintrust.dll
2013-08-14 20:35 - 2013-07-09 06:50 - 00652800 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2013-08-14 20:35 - 2013-07-09 06:46 - 01166848 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2013-08-14 20:35 - 2013-07-09 06:46 - 00140288 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2013-08-14 20:35 - 2013-07-09 06:46 - 00103936 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2013-08-14 20:35 - 2013-07-06 07:05 - 01293760 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-08-14 20:34 - 2013-07-19 03:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2013-08-14 20:34 - 2013-06-15 05:38 - 00031232 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tssecsrv.sys

==================== One Month Modified Files and Folders =======

2013-09-06 19:09 - 2013-09-06 19:09 - 00000000 ____D C:\FRST
2013-09-06 19:09 - 2013-09-06 19:09 - 00000000 _____ C:\Windows\system32\config\systemprofile\defogger_reenable
2013-09-06 19:07 - 2013-09-04 19:28 - 00000000 ____D C:\Windows\system32\config\systemprofile\Desktop\Neuer Ordner
2013-09-06 19:07 - 2009-07-14 06:34 - 00015152 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-06 19:07 - 2009-07-14 06:34 - 00015152 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-06 19:04 - 2009-11-28 14:40 - 01392043 _____ C:\Windows\WindowsUpdate.log
2013-09-06 19:03 - 2012-04-15 11:07 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-09-06 19:01 - 2013-01-14 19:44 - 00000342 _____ C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job
2013-09-06 19:01 - 2011-04-06 21:49 - 00001092 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-09-06 19:00 - 2013-06-30 11:28 - 00004043 _____ C:\Windows\setupact.log
2013-09-06 19:00 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-09-06 18:56 - 2011-04-06 21:49 - 00001096 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-09-04 20:26 - 2013-09-04 20:26 - 00000626 _____ C:\Windows\system32\config\systemprofile\Desktop\JRT.txt
2013-09-04 20:10 - 2013-09-04 19:28 - 00000000 ____D C:\AdwCleaner
2013-09-04 19:40 - 2013-09-04 19:40 - 00000000 ____D C:\Windows\ERUNT
2013-09-04 19:37 - 2013-07-11 18:40 - 00004290 _____ C:\Windows\PFRO.log
2013-09-04 19:23 - 2009-11-28 14:37 - 55275520 _____ C:\Windows\system32\config\RegBack\SOFTWARE
2013-09-04 19:23 - 2009-11-28 14:37 - 15302656 _____ C:\Windows\system32\config\RegBack\SYSTEM
2013-09-04 19:23 - 2009-11-28 14:37 - 00524288 _____ C:\Windows\system32\config\RegBack\DEFAULT
2013-09-04 19:23 - 2009-11-28 14:37 - 00061440 _____ C:\Windows\system32\config\RegBack\SAM
2013-09-04 19:23 - 2009-11-28 14:37 - 00024576 _____ C:\Windows\system32\config\RegBack\SECURITY
2013-09-04 18:40 - 2013-09-04 18:40 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Roaming\Malwarebytes
2013-09-04 18:40 - 2013-09-04 18:40 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-09-04 18:38 - 2013-09-04 18:39 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Windows\system32\config\systemprofile\Desktop\mbam-setup-1.75.0.1300.exe
2013-09-04 18:33 - 2013-09-04 18:33 - 00000000 ____D C:\TDSSKiller_Quarantine
2013-09-04 18:25 - 2009-11-28 14:48 - 01622012 _____ C:\Windows\system32\PerfStringBackup.INI
2013-09-04 18:21 - 2013-09-04 18:36 - 02237968 _____ (Kaspersky Lab ZAO) C:\Windows\system32\config\systemprofile\Desktop\tdsskiller2.8.18.0.exe
2013-09-04 18:03 - 2013-09-04 18:03 - 00008051 _____ C:\Windows\system32\config\systemprofile\Desktop\hijackthis.log
2013-09-04 17:57 - 2013-09-04 18:02 - 00388608 _____ (Trend Micro Inc.) C:\Windows\system32\config\systemprofile\Desktop\HiJackThis204.exe
2013-09-03 19:30 - 2009-11-28 14:55 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-09-03 19:27 - 2013-08-24 11:48 - 00000000 ____D C:\Windows\system32\cache
2013-08-28 22:19 - 2013-08-28 22:19 - 01624064 _____ (Bandoo Media Inc) C:\Windows\system32\config\systemprofile\Downloads\iLividSetup-r484-n-bf.exe
2013-08-24 12:25 - 2013-08-24 11:47 - 00002217 _____ C:\Windows\system32\config\systemprofile\Desktop\Google Chrome.lnk
2013-08-24 12:25 - 2011-04-06 21:49 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Local\Google
2013-08-24 11:50 - 2013-08-24 11:50 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Roaming\Macromedia
2013-08-24 11:50 - 2013-08-24 11:50 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Local\Macromedia
2013-08-24 11:49 - 2013-08-24 11:48 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Roaming\Mozilla
2013-08-24 11:48 - 2013-08-24 11:48 - 00114672 _____ C:\Windows\system32\config\systemprofile\AppData\Local\GDIPFONTCACHEV1.DAT
2013-08-24 11:48 - 2013-08-24 11:48 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Local\Mozilla
2013-08-24 11:47 - 2013-08-24 11:47 - 00001437 _____ C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-08-24 11:47 - 2013-08-24 11:47 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2013-08-22 20:03 - 2012-04-15 11:07 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-08-22 20:03 - 2011-08-28 11:16 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-08-20 20:17 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-18 14:51 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\rescache
2013-08-17 13:38 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\system32\de-DE
2013-08-14 21:06 - 2013-08-14 21:04 - 00000000 ____D C:\Windows\system32\MRT
2013-08-14 21:04 - 2009-12-11 19:30 - 75778376 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-08-14 20:24 - 2012-09-03 18:26 - 00037664 _____ (AVG Technologies) C:\Windows\system32\Drivers\avgtpx86.sys

Files to move or delete:
====================
C:\Windows\system32\config\systemprofile\AppData\Local\Temp\jrt\erunt\ERUNT.EXE

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-09-04 19:23

==================== End Of Log ============================
--- --- ---




Additions.txt:
FRST Additions Logfile:
Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 06-09-2013
Ran by Peter at 2013-09-06 19:10:54
Running from G:\
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

 Update for Microsoft Office 2007 (KB2508958)
_123DMerge (Version: 1.0.0.0)
Adobe Flash Player 11 ActiveX (Version: 11.8.800.94)
Adobe Flash Player 11 Plugin (Version: 11.8.800.94)
Adobe Reader 9.5.2 - Deutsch (Version: 9.5.2)
Apple Application Support (Version: 1.1.0)
Apple Mobile Device Support (Version: 2.6.0.32)
Apple Software Update (Version: 2.1.1.116)
Autodesk 123D Beta (Version: 1.1.6.21)
Autodesk Material Library 2013 (Version: 3.0.5)
Autodesk Material Library Base Resolution Image Library 2013 (Version: 3.0.5)
AVG 2013 (Version: 13.0.3222)
AVG 2013 (Version: 13.0.3392)
AVG 2013 (Version: 2013.0.3392)
Bonjour (Version: 1.0.106)
CDBurnerXP (Version: 4.3.7.2423)
Conexant HD Audio (Version: 4.98.4.60)
ConvertHelper 2.2
DivX-Setup (Version: 2.4.1.4)
Foxit Reader (Version: 3.1.4.1125)
GMX Internet Explorer Addon (Version: 1.0.1.0)
GMX Softwareaktualisierung (Version: 2.0.2.1)
GMX Toolbar für Internet Explorer (Version: 1.7.0.0)
GMX Toolbar für Mozilla Firefox (Version: 1.7.0.0)
GMX Toolbar MSVC100 CRT x86 (Version: 1.0.0)
Google Chrome (Version: 29.0.1547.62)
HL-2130 (Version: 1.0.6.0)
ICQ7.2 (Version: 7.2)
Intel(R) Graphics Media Accelerator Driver
Intel(R) TV Wizard
Internet Explorer 8 GMX Edition
Internet Explorer 8 GMX Edition (Version: 1.2.0.20)
Internet-TV für Windows Media Center (Version: 4.2.2.0)
IrfanView (remove only)
iTunes (Version: 9.0.2.25)
Java Auto Updater (Version: 2.0.2.1)
Java(TM) 6 Update 20 (Version: 6.0.200)
K-Lite Mega Codec Pack 5.4.4 (Version: 5.4.4)
Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft Office 2007 Service Pack 3 (SP3)
Microsoft Office Access MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Enterprise 2007 (Version: 12.0.6612.1000)
Microsoft Office Excel MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office File Validation Add-In (Version: 14.0.5130.5003)
Microsoft Office Groove MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office InfoPath MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Live Add-in 1.5 (Version: 2.0.4024.1)
Microsoft Office OneNote MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Outlook MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (English) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (French) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
Microsoft Office Publisher MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Shared MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Word MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Silverlight (Version: 5.1.20513.0)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Movies Toolbar for Chrome (Dist. by Bandoo Media, Inc.) (Version: 1.5.0.0)
Mozilla Firefox 13.0.1 (x86 de) (Version: 13.0.1)
Mozilla Maintenance Service (Version: 13.0.1)
Mozilla Thunderbird (2.0.0.23) (Version: 2.0.0.23 (de))
OpenOffice.org 3.2 (Version: 3.2.9502)
QuickTime (Version: 7.65.17.80)
Realtek 8136 8168 8169 Ethernet Driver (Version: 1.00.0007)
Skype Toolbars (Version: 1.0.4051)
Skype™ 6.3 (Version: 6.3.105)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2836939) (Version: 1)
Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596660) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596848) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2687493) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2767849) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition
Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition
Update for Microsoft Office Outlook 2007 (KB2768023) 32-Bit Edition
Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2817642) 32-Bit Edition
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Outlook 2007 Help (KB963677)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
VC80CRTRedist - 8.0.50727.4053 (Version: 1.1.0)
VLC media player 1.0.3 (Version: 1.0.3)
Winamp (Version: 5.56 )
Windows Media Center Add-in for Silverlight (Version: 4.7.3.0)
WinRAR
 

==================== Restore Points  =========================

06-08-2013 17:06:59 Installed Autodesk 123D Beta
06-08-2013 17:07:26 DirectX wurde installiert
06-08-2013 17:28:42 Installed Autodesk 123D Beta
06-08-2013 17:39:40 Installed Autodesk 123D Beta
06-08-2013 17:55:26 Microsoft Visual C++ 2005 Redistributable wird entfernt
06-08-2013 17:56:13 Removed Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
06-08-2013 17:56:43 Microsoft Visual C++ 2005 Redistributable wird entfernt
06-08-2013 17:57:27 Removed Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
06-08-2013 17:58:12 Removed Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
06-08-2013 17:59:01 Removed Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
06-08-2013 18:00:22 AVG PC TuneUp wird entfernt
06-08-2013 18:01:07 AVG PC TuneUp Language Pack (de-DE) wird entfernt
06-08-2013 18:54:46 Windows Update
09-08-2013 21:07:26 Windows Update
14-08-2013 18:57:30 Windows Update
18-08-2013 18:13:53 Windows Update

==================== Hosts content: ==========================

2009-07-14 04:04 - 2009-06-10 23:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {04C1E7BB-A456-4FBF-B8B0-66B0D459E6D1} - System32\Tasks\Registration 1und1 Task => C:\Program Files\1und1Softwareaktualisierung\cdsupdclient.exe [2011-12-02] (1&1 Mail & Media GmbH)
Task: {0D9B5D92-3A22-486D-A887-3AA21597CF27} - System32\Tasks\Microsoft\Windows\Time Synchronization\SynchronizeTime => Sc.exe start w32time task_started
Task: {184935EC-83A6-4E66-B784-873AA8CC695B} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-08-22] (Adobe Systems Incorporated)
Task: {1CD4C21B-9D27-4C8F-ABC3-7D14FDD54DF3} - System32\Tasks\Adobe-Online-Aktualisierungsprogramm => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2013-04-04] (Adobe Systems Incorporated)
Task: {776C5F86-67A6-4A39-AAF7-337B1DA07035} - System32\Tasks\1und1 Konfiguration => C:\ProgramData\1und1InternetExplorerAddon\ConfigTask.exe [2011-04-19] (1und1 Mail und Media GmbH)
Task: {851E48BD-4E23-4968-B325-4F108CE074EC} - System32\Tasks\{77608CEF-5B7B-4140-8B66-EFE026E17E69} => C:\Program Files\Skype\Phone\Skype.exe [2013-02-28] (Skype Technologies S.A.)
Task: {B249522B-9E16-4568-BDE0-6E23E11E620C} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2011-04-06] (Google Inc.)
Task: {BBE14652-8E3A-4EDC-958B-053FAB6A259A} - System32\Tasks\ROC_JAN2013_TB_rmv => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe
Task: {CB496A68-8D92-404C-A468-33D252C38E49} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe [2010-11-20] (Microsoft Corporation)
Task: {D0759B2D-6254-44D4-BEE1-DC8E84059578} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2011-04-06] (Google Inc.)
Task: {E455F653-E567-4A93-93A4-37AB2A831A44} - System32\Tasks\Divx-Online-Aktualisierungsprogramm => C:\Program Files\DivX\DivX Update\DivXUpdate.exe [2011-03-21] ()
Task: {EDCBDC58-5FCA-4096-9642-29C99BF0FE0C} - System32\Tasks\Java Update Scheduler => C:\Program Files\Common Files\Java\Java Update\jusched.exe [2010-02-18] (Sun Microsystems, Inc.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe

==================== Loaded Modules (whitelisted) =============

2010-01-03 17:54 - 2009-12-12 16:12 - 00141824 _____ () C:\Program Files\WinRAR\rarext.dll
2013-03-28 02:48 - 2013-03-28 02:48 - 00229424 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgse.dll
2013-06-27 01:54 - 2013-06-27 01:54 - 00848432 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgsysx.dll
2010-08-25 20:02 - 2010-08-25 20:02 - 00086016 _____ (Intel Corporation) C:\Windows\system32\igfxrDEU.lrc
2012-08-23 17:53 - 2009-02-27 16:38 - 00139264 ____R () C:\Program Files\Brother\BrUtilities\BrLogAPI.dll
2012-08-23 17:54 - 2010-02-17 10:50 - 00626688 ____R (Brother Industries, Ltd.) C:\Program Files\Browny02\Brother\BrStMonWRes.dll
2009-07-14 02:12 - 2009-07-14 03:14 - 00523776 _____ (Microsoft Corporation) C:\Windows\system32\hhctrl.ocx
2012-08-23 17:54 - 2009-12-25 15:08 - 00208896 ____R (Brother Industries, Ltd.) C:\Program Files\Browny02\Brother\BrFirmUpdateCheck.dll
2013-02-19 04:01 - 2013-02-19 04:01 - 00890928 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgntopensslx.dll
2013-02-19 04:01 - 2013-02-19 04:01 - 00309808 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avglogx.dll
2013-07-23 01:31 - 2013-07-23 01:31 - 02853936 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgkrnlapix.dll
2013-03-21 03:09 - 2013-03-21 03:09 - 01028144 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgcfgx.dll
2013-07-26 01:33 - 2013-07-26 01:33 - 00455216 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgcommx.dll
2013-02-19 04:01 - 2013-02-19 04:01 - 00273968 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgidpmx.dll
2013-02-19 04:01 - 2013-02-19 04:01 - 00174640 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avglngx.dll
2013-03-29 02:54 - 2013-03-29 02:54 - 01799216 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avguires.dll
2013-02-19 04:00 - 2013-02-19 04:00 - 00279088 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgclitx.dll
2013-02-19 04:01 - 2013-02-19 04:01 - 00025648 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgapps.dll
2013-03-14 03:16 - 2013-03-14 03:16 - 00409648 _____ (AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2013\avgdecider.dll

==================== Alternate Data Streams (whitelisted) ==========


==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (09/06/2013 07:01:32 PM) (Source: Microsoft-Windows-User Profiles Service) (User: Peter-PC)
Description: Das Profil konnte nicht erfolgreich geladen werden, aber Sie wurden mit dem standardmäßigen Profil für das System angemeldet. 

 Details - Zugriff verweigert

Error: (09/06/2013 07:01:32 PM) (Source: Microsoft-Windows-User Profiles Service) (User: Peter-PC)
Description: Das Profil konnte nicht erfolgreich geladen werden, aber Sie wurden mit dem standardmäßigen Profil für das System angemeldet. 

 Details - Zugriff verweigert


System errors:
=============
Error: (09/06/2013 07:00:26 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "vToolbarUpdater15.5.0" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%2

Error: (09/06/2013 07:00:21 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎06.‎09.‎2013 um 18:58:01 unerwartet heruntergefahren.

Error: (09/06/2013 06:56:34 PM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst Bonjour Service erreicht.

Error: (09/06/2013 06:56:04 PM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst Bonjour Service erreicht.


Microsoft Office Sessions:
=========================

==================== Memory info =========================== 

Percentage of memory in use: 31%
Total physical RAM: 3003.2 MB
Available physical RAM: 2071.75 MB
Total Pagefile: 6004.68 MB
Available Pagefile: 5012.95 MB
Total Virtual: 2047.88 MB
Available Virtual: 1908.35 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:156.2 GB) (Free:102.18 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Daten) (Fixed) (Total:66.15 GB) (Free:54.27 GB) NTFS
Drive e: (RECOVERY) (Fixed) (Total:10.53 GB) (Free:1.79 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive g: () (Removable) (Total:1.82 GB) (Free:1.8 GB) FAT

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 233 GB) (Disk ID: 7B2D0067)
Partition 1: (Active) - (Size=156 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=66 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=11 GB) - (Type=07 NTFS)

========================================================
Disk: 2 (Size: 2 GB) (Disk ID: 00000000)
Partition 1: (Not Active) - (Size=2 GB) - (Type=06)

==================== End Of Log ============================
--- --- ---




Scan mit GMER:
GMER Logfile:
Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-09-07 16:35:53
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD2500BEVT-60ZCT1 rev.13.01A13 232,89GB
Running: voj7kpfc.exe; Driver: C:\Windows\system32\config\SYSTEM~1\AppData\Local\Temp\kgloapow.sys


---- System - GMER 2.1 ----

SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys  ZwNotifyChangeKey [0x9017B5D0]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys  ZwNotifyChangeMultipleKeys [0x9017B700]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys  ZwOpenProcess [0x9017B010]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys  ZwSuspendProcess [0x9017B300]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys  ZwSuspendThread [0x9017B3E0]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys  ZwTerminateProcess [0x9017B120]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys  ZwTerminateThread [0x9017B210]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys  ZwWriteVirtualMemory [0x9017B4D0]

---- Kernel code sections - GMER 2.1 ----

.text           ntkrnlpa.exe!ZwRollbackEnlistment + 142D      82C8DA15 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2        82CC7212 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1357           82CCE6EC 8 Bytes  [D0, B5, 17, 90, 00, B7, 17, ...] {SAL BYTE [EBP-0x48ff6fe9], 0x1; POP SS; NOP }
.text           ntkrnlpa.exe!KeRemoveQueueEx + 139F           82CCE734 4 Bytes  [10, B0, 17, 90]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 165F           82CCE9F4 8 Bytes  [00, B3, 17, 90, E0, B3, 17, ...] {ADD [EBX-0x4c1f6fe9], DH; POP SS; NOP }
.text           ntkrnlpa.exe!KeRemoveQueueEx + 166F           82CCEA04 8 Bytes  [20, B1, 17, 90, 10, B2, 17, ...] {AND [ECX-0x4def6fe9], DH; POP SS; NOP }
.text           ntkrnlpa.exe!KeRemoveQueueEx + 16E3           82CCEA78 4 Bytes  [D0, B4, 17, 90]

---- Devices - GMER 2.1 ----

AttachedDevice  \Driver\tdx \Device\Tcp                       avgtdix.sys
AttachedDevice  \Driver\tdx \Device\Udp                       avgtdix.sys
AttachedDevice  \Driver\tdx \Device\RawIp                     avgtdix.sys

---- Threads - GMER 2.1 ----

Thread          System [4:3500]                               991B1F2E

---- EOF - GMER 2.1 ----
--- --- ---




MBAM-Logfile:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.09.04.07

Windows 7 Service Pack 1 x86 FAT
Internet Explorer 10.0.9200.16660
Peter :: PETER-PC [limitiert]

07.09.2013 17:15:35
MBAM-log-2013-09-07 (17-56-19).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 270929
Laufzeit: 6 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 6
C:\Users\Line\AppData\Roaming\Iminent\Mediator (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.
C:\Users\Line\AppData\Roaming\Iminent\Mediator\Datas (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.
C:\Users\Peter\AppData\Roaming\Iminent\Mediator (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.
C:\Users\Peter\AppData\Roaming\Iminent\Mediator\Datas (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.
C:\Users\Peter\AppData\Local\Temp\Iminent (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.
C:\Users\Peter\AppData\Local\Temp\Iminent\Log (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.

Infizierte Dateien: 6
C:\Windows\System32\config\systemprofile\Downloads\iLividSetup-r484-n-bf.exe (PUP.Optional.Bandoo) -> Keine Aktion durchgeführt.
C:\Windows\Installer\33da0a.msi (PUP.Optional.Iminent) -> Keine Aktion durchgeführt.
C:\Users\Line\AppData\Roaming\Iminent\Mediator\Datas\globalcache.dat (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.
C:\Users\Line\AppData\Roaming\Iminent\Mediator\Datas\user.dat (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.
C:\Users\Peter\AppData\Roaming\Iminent\Mediator\Datas\globalcache.dat (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.
C:\Users\Peter\AppData\Roaming\Iminent\Mediator\Datas\user.dat (PUP.Optional.Iminent.A) -> Keine Aktion durchgeführt.

(Ende)
Geändert von Kaiza (07.09.2013 um 18:09 Uhr)

 

Themen zu Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien
avg security toolbar, bandoo, beseitigung, bonjour, browser, computer, desktop, email, farbar, farbar recovery scan tool, festplatte, flash player, hijack, homepage, inline-hook, internet, kaspersky, mozilla, newtab, plug-in, problem, programm, pup.optional.bandoo, pup.optional.iminent, pup.optional.iminent.a, registry, secure search, security, svchost.exe, virus, vtoolbarupdater, warnung, windows


« Virus: Adware.BHO.Bprotector.1.2 | Windows 7 (64-Bit) : Weißer Bildschirm nach Anmeldung »


Ähnliche Themen: Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien


  1. USB Virus - vsb Datei auf Stick entdeckt, alle Dateien schreibgeschützt und versteckt
    Plagegeister aller Art und deren Bekämpfung - 18.03.2015 (14)
  2. 6 bedrohliche Dateien im Windows Ordner gefunden
    Log-Analyse und Auswertung - 27.09.2012 (29)
  3. Windows Update Virus, Nach Beseitigung bleiben eigene Dateien und Fotos verschlüsselt!
    Log-Analyse und Auswertung - 24.05.2012 (1)
  4. Hijackthis Auswertung Virus erstellt immer neue Dateien
    Log-Analyse und Auswertung - 30.11.2011 (3)
  5. VIRUS ? Ordner und Dateien plötzlich versteckt, Windows Fehlermeldungen zu Festplatte
    Plagegeister aller Art und deren Bekämpfung - 23.11.2011 (35)
  6. Nach Virusmeldung kein Zugriff mehr auf Dateien/Dateien nicht angezeigt
    Plagegeister aller Art und deren Bekämpfung - 12.08.2011 (1)
  7. TR/kazy.mekml.1 befallene Dateien gelöscht, dennoch nicht alles beim Alten
    Log-Analyse und Auswertung - 23.05.2011 (18)
  8. TR/Kazy.mekml.1 - Grad der Infizierung nach Löschung zweier Trojaner-Exe-Dateien
    Log-Analyse und Auswertung - 17.05.2011 (17)
  9. Virus auf Stick löscht Ordner und Dateien
    Plagegeister aller Art und deren Bekämpfung - 19.04.2011 (12)
  10. Ordner/Dateien nach Entfernung von HDD Defragmenter nicht zu finden
    Plagegeister aller Art und deren Bekämpfung - 23.03.2011 (5)
  11. Gibt es Antivirenprogramme die befallene Dateien reparieren und nicht nur verschieben?
    Diskussionsforum - 20.09.2010 (3)
  12. befallene dateien löschen?
    Log-Analyse und Auswertung - 02.02.2010 (4)
  13. Dateien in einem Vorgang verschieben v. Ordner 1 nach 2, namensgleiche in 1 belassen
    Alles rund um Windows - 11.03.2009 (2)
  14. Befallene dateien vom trojanischen Pferd befreien
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (7)
  15. Nervige Popups und dauernd neue Dateien im System32 Ordner
    Plagegeister aller Art und deren Bekämpfung - 19.02.2007 (4)
  16. Frage zu WINDOWS Ordner Dateien
    Plagegeister aller Art und deren Bekämpfung - 18.04.2005 (4)
  17. 1000 .exe dateien im Windows Ordner..HJT log
    Log-Analyse und Auswertung - 06.01.2005 (14)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien - Guten Abend allerseits, Vor einigen wenigen Tagen brachte ein Bekannter seinen Laptop bei mir vorbei, weil der Verdacht auf eine Virusinfektion vorlag. Grund zu dieser Annahme waren Scanergebnise von AVG - Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien...
Archiv
Du betrachtest: Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131