Nach Telekom ABUSE Brief - PC mit DUAL OS unter Verdacht, Vista sehr auffällig nach genauerer Betrachtung

Thoshy · 24.09.2013, 00:22

Hallo liebes Team,
kaum ist man aus den Flitterwochen, erreicht einen ein ABUSE-Brief der Telekom

Nach Nachfrage wurde mir mitgeteilt, dass

ZeroAccess aka ´ 'Sirefef' und 'Max++' sein Unwesen treiben soll.

Nach einiger Lektüre bin ich bei euch gelandet und glaube so langsam auch, dass ich mir was gefangen habe.

Ich habe ein Dual OS auf der Maschine , nach Hochfahren kann ich entweder eine XP oder Vista Maschine starten.

Auffälliger war der " Vista-PC ", da hier mein eigentlich aktuelles Antivir nach näherer Betrachtung den Echtzeit Scanner deaktiviert hatte und dieser sich auch nicht aktivieren lässt. Außerdem war auch die Firewall von Windows plötzlich aus und lässt sich nicht mehr starten.

Ich gebe zu, dass ich denoch einen Avira Antivir Scan von Vista aus gemacht hatte und dort auch sieben Funde gemeldet wurden, die angeblich in Quarantäne geschickt wurden.
Da mir aber im Laufe der Zeit - meinem Empfinden nach - die Kontrolle immer weiter abhanden ging, was in einem schwarzen ,nicht mehr reagierenden, Bildschirm endete, habe ich die " Reißleine" gezogen und ein Hardware Reset gemacht und bin seither in der XP Version unterwegs, aus der heraus ich auch schreibe.

Ist es bei so einer Konstellation möglich, dass das eine OS sauber ist und das andere nicht ? Oder springt Schadsoftware irgendwann immer über ?

Bin mir daher nicht sicher, ob ich nochmal ins Vista-OS booten soll um den LOG zu holen ?

Daher bitte ich um Hilfe, habe auch keine Lust auf Ärger mit der Telekom...

Gruß
Thorsten

P.S. Die OS sind glaube ich seit 2009 auf dem PC, haben diverse Mainboard-Wechsel ohne Murren mitgemacht, daher sind Sie mir eigentlich ans Herz gewachsen ;-) Vll. könnt ihr mir ja helfen... Dank im Voraus

schrauber · 24.09.2013, 05:01

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Thoshy · 24.09.2013, 17:09

Hallo Schrauber,

habe die Anleitung für den Scanner gelesen und an nem wohl sauberen PC auf den Stick das FRST gezogen...

Jedoch habe ich mit meinem Multi-OS Auswahlscreen nach dem Drücken von F8 nicht die Option mit dem Reparieren zur Verfügung.

Was soll ich nun machen ? In dem potentiell verseuchten PC den USB Stick aktivieren ?

Die XP ist in der Auswahlliste bei mir auf der 1, dann Vista auf Auswahl Nr. 2 und das ist auch als Standard hinterlegt.

Gruß
Thoshy

P.S. In der Woche kann ich immer nur abends und heute steht gleich Babysitten an..
Werde also erst morgen abend wieder auf deine hoffentlich gepostete Lösung reagieren können.

schrauber · 24.09.2013, 19:26

Ich denke du kannst in das OS booten? dann scann enfach vom Desktop.

Thoshy · 25.09.2013, 18:57

Hallo,

war ein Kampf. Das Biest lässt keinen USB Massenspeicher mehr unter Vista zu... Also über XP auf den Vista Desktop kopiert...

Hier nun die Logs

FRST

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 24-09-2013
Ran by Thorsten (administrator) on xxx-PC on 25-09-2013 19:32:59
Running from D:\Users\XXXX\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) D:\Windows\system32\nvvsvc.exe
(NVIDIA Corporation) D:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(Microsoft Corporation) D:\Windows\system32\SLsvc.exe
(Avira Operations GmbH & Co. KG) D:\Program Files\Avira\AntiVir Desktop\sched.exe
() D:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
(Microsoft Corporation) D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
(NVIDIA Corporation) D:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) D:\Windows\system32\nvvsvc.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
(Adobe Systems Incorporated) D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
(Avira Operations GmbH & Co. KG) D:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Sun Microsystems, Inc.) D:\Program Files\Common Files\Java\Java Update\jusched.exe
(Microsoft Corporation) D:\Program Files\Windows Sidebar\sidebar.exe
(Microsoft Corporation) D:\Windows\ehome\ehtray.exe
(Microsoft Corporation) D:\Windows\ehome\ehmsas.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
(NVIDIA Corporation) D:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(Microsoft Corporation) D:\Windows\system32\conime.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Launch LCDMon] - D:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe [1687824 2007-07-18] (Logitech Inc.)
HKLM\...\Run: [Launch LGDCore] - D:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe [2094352 2007-07-18] (Logitech Inc.)
HKLM\...\Run: [Adobe Reader Speed Launcher] - D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [39792 2008-01-11] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - D:\Program Files\Avira\AntiVir Desktop\avgnt.exe [348664 2012-09-11] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SunJavaUpdateSched] - D:\Program Files\Common Files\Java\Java Update\jusched.exe [252296 2012-01-17] (Sun Microsystems, Inc.)
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] D:\$Recycle.Bin\S-1-5-18\$4ead5e84ebf29d959cf68eedeacc3359\o. ATTENTION! ====> ZeroAccess?
HKCU\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKCU\...\Run: [ehTray.exe] - D:\Windows\ehome\ehTray.exe [125952 2008-01-18] (Microsoft Corporation)
HKCU\...\Run: [ICQ] - "D:\Program Files\ICQ6.5\ICQ.exe" silent
HKCU\...\Run: [Steam] - D:\Program Files\Steam\steam.exe [1641896 2013-06-07] (Valve Corporation)
HKCU\...409d6c4515e9\InprocServer32: [Default-shell32] D:\$Recycle.Bin\S-1-5-21-1240786759-2920363279-3387687890-1000\$4ead5e84ebf29d959cf68eedeacc3359\o. ATTENTION! ====> ZeroAccess?
MountPoints2: {36f83018-00a8-11dc-8a5d-806e6f6e6963} - J:\aoesetup.exe /autorun
MountPoints2: {36f83019-00a8-11dc-8a5d-806e6f6e6963} - K:\Seite1.exe
MountPoints2: {70faaf76-66e6-11e1-8172-806e6f6e6963} - J:\menue.exe
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\UpdatusUser\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x8EF5F2FCB5B3CE01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
SearchScopes: HKCU - DefaultScope {D29E2560-57DF-4455-AC79-C934296271F6} URL = hxxp://www.google.de/search?q={searchTerms}
SearchScopes: HKCU - {D29E2560-57DF-4455-AC79-C934296271F6} URL = hxxp://www.google.de/search?q={searchTerms}
BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/5/b/0/5b0d4654-aa20-495c-b89f-c1c34c691085/LegitCheckControl.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; D:\Program Files\Avira\AntiVir Desktop\sched.exe [86224 2012-09-11] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; D:\Program Files\Avira\AntiVir Desktop\avguard.exe [110032 2012-09-11] (Avira Operations GmbH & Co. KG)
R2 GEST Service; D:\Program Files\GIGABYTE\EnergySaver\GSvr.exe [80392 2008-05-13] ()
R2 syshost32; D:\Windows\Installer\{C6D4CAA4-97E1-71A8-5A1F-9A4D39CDECA1}\syshost.exe [56832 2013-07-11] ()

==================== Drivers (Whitelisted) ====================

S2 avgntflt; D:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-09-11] (Avira GmbH)
R1 avipbb; D:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-09-11] (Avira GmbH)
R1 avkmgr; D:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-09-11] (Avira GmbH)
R0 CLFS; D:\Windows\System32\CLFS.sys [245736 2009-04-10] (Microsoft Corporation)
R3 gdrv; D:\Windows\gdrv.sys [16608 2013-07-10] (Windows (R) 2000 DDK provider)
S4 IPMIDRV; D:\Windows\system32\drivers\ipmidrv.sys [65536 2006-11-02] ()
S3 IPNAT; D:\Windows\System32\DRIVERS\ipnat.sys [100864 2008-01-18] ()
S3 IRENUM; D:\Windows\System32\drivers\irenum.sys [13312 2008-01-18] ()
S4 isapnp; D:\Windows\system32\drivers\isapnp.sys [47208 2006-11-02] ()
R3 iScsiPrt; D:\Windows\System32\DRIVERS\msiscsi.sys [180712 2009-04-10] ()
S4 iteatapi; D:\Windows\system32\drivers\iteatapi.sys [35944 2006-11-02] ()
S4 iteraid; D:\Windows\system32\drivers\iteraid.sys [35944 2006-11-02] ()
R1 kbdclass; D:\Windows\System32\DRIVERS\kbdclass.sys [35384 2008-01-18] ()
R1 kbdhid; D:\Windows\System32\DRIVERS\kbdhid.sys [17408 2009-04-10] ()
R0 KSecDD; D:\Windows\System32\Drivers\ksecdd.sys [440704 2012-06-04] ()
R2 lltdio; D:\Windows\System32\DRIVERS\lltdio.sys [47104 2008-01-18] ()
S4 LSI_FC; D:\Windows\system32\drivers\lsi_fc.sys [65640 2006-11-02] ()
S4 LSI_SAS; D:\Windows\system32\drivers\lsi_sas.sys [65640 2006-11-02] ()
S4 LSI_SCSI; D:\Windows\system32\drivers\lsi_scsi.sys [65640 2006-11-02] ()
R2 luafv; D:\Windows\system32\drivers\luafv.sys [84480 2008-01-18] ()
S4 megasas; D:\Windows\system32\drivers\megasas.sys [28776 2006-11-02] ()
S3 Modem; D:\Windows\System32\drivers\modem.sys [31744 2008-01-18] ()
R3 monitor; D:\Windows\System32\DRIVERS\monitor.sys [41984 2008-01-18] ()
R1 mouclass; D:\Windows\System32\DRIVERS\mouclass.sys [34360 2008-01-18] ()
S4 mouhid; D:\Windows\system32\drivers\mouhid.sys [15872 2006-11-02] ()
R0 MountMgr; D:\Windows\System32\drivers\mountmgr.sys [57400 2008-01-18] ()
S4 mpio; D:\Windows\system32\drivers\mpio.sys [78952 2006-11-02] ()
S3 mpsdrv; D:\Windows\System32\drivers\mpsdrv.sys [64000 2008-01-18] ()
S4 Mraid35x; D:\Windows\system32\drivers\mraid35x.sys [33384 2006-11-02] ()
R3 MRxDAV; D:\Windows\system32\drivers\mrxdav.sys [114688 2009-04-10] ()
R3 mrxsmb; D:\Windows\System32\DRIVERS\mrxsmb.sys [106496 2011-04-29] ()
R3 mrxsmb10; D:\Windows\System32\DRIVERS\mrxsmb10.sys [214016 2011-07-06] ()
R3 mrxsmb20; D:\Windows\System32\DRIVERS\mrxsmb20.sys [79872 2011-04-29] ()
S4 msahci; D:\Windows\system32\drivers\msahci.sys [23144 2006-11-02] ()
S4 msdsm; D:\Windows\system32\drivers\msdsm.sys [80488 2006-11-02] ()
R1 Msfs; D:\Windows\System32\Drivers\Msfs.sys [22528 2008-01-18] ()
R0 msisadrv; D:\Windows\System32\drivers\msisadrv.sys [16440 2008-01-18] ()
S3 MSKSSRV; D:\Windows\System32\drivers\MSKSSRV.sys [8192 2008-01-18] ()
S3 MSPCLOCK; D:\Windows\System32\drivers\MSPCLOCK.sys [5888 2008-01-18] ()
S3 MSPQM; D:\Windows\System32\drivers\MSPQM.sys [5504 2008-01-18] ()
S3 MsRPC; D:\Windows\System32\Drivers\MsRPC.sys [161752 2009-04-10] ()
R3 mssmbios; D:\Windows\System32\DRIVERS\mssmbios.sys [31288 2008-01-18] ()
S3 MSTEE; D:\Windows\System32\drivers\MSTEE.sys [6016 2008-01-18] ()
R0 Mup; D:\Windows\System32\Drivers\mup.sys [48104 2009-04-10] ()
S3 NativeWifiP; D:\Windows\System32\DRIVERS\nwifi.sys [148480 2009-04-10] ()
R0 NDIS; D:\Windows\System32\drivers\ndis.sys [527848 2009-04-10] ()
R3 NdisTapi; D:\Windows\System32\DRIVERS\ndistapi.sys [20992 2008-01-18] ()
S3 Ndisuio; D:\Windows\System32\DRIVERS\ndisuio.sys [16896 2008-01-18] ()
R3 NdisWan; D:\Windows\System32\DRIVERS\ndiswan.sys [121344 2009-04-10] ()
R3 NDProxy; D:\Windows\System32\Drivers\NDProxy.sys [49664 2008-01-18] ()
R1 NetBIOS; D:\Windows\System32\DRIVERS\netbios.sys [35840 2008-01-18] ()
R1 netbt; D:\Windows\System32\DRIVERS\netbt.sys [185856 2009-04-10] ()
S4 nfrd960; D:\Windows\system32\drivers\nfrd960.sys [45160 2006-11-02] ()
R1 Npfs; D:\Windows\System32\Drivers\Npfs.sys [35328 2009-04-10] ()
R1 nsiproxy; D:\Windows\System32\drivers\nsiproxy.sys [16384 2008-01-18] ()
R3 Ntfs; D:\Windows\System32\Drivers\Ntfs.sys [1082232 2013-03-03] ()
S4 ntrigdigi; D:\Windows\system32\drivers\ntrigdigi.sys [20608 2006-11-02] ()
R1 Null; D:\Windows\System32\Drivers\Null.sys [4608 2008-01-18] ()
S3 NVENETFD; D:\Windows\System32\DRIVERS\nvm60x32.sys [429056 2006-11-02] ()
R3 NVHDA; D:\Windows\System32\drivers\nvhda32v.sys [149352 2012-07-03] ()
R3 nvlddmkm; D:\Windows\System32\DRIVERS\nvlddmkm.sys [8939296 2013-02-26] ()
S4 nvraid; D:\Windows\system32\drivers\nvraid.sys [88680 2006-11-02] ()
R0 nvstor; D:\Windows\System32\drivers\nvstor.sys [35920 2007-01-05] ()
S3 nv_agp; D:\Windows\system32\drivers\nv_agp.sys [106600 2006-11-02] ()
R3 ohci1394; D:\Windows\System32\DRIVERS\ohci1394.sys [62208 2009-04-10] ()
R3 Parport; D:\Windows\System32\DRIVERS\parport.sys [79360 2008-01-18] ()
R0 partmgr; D:\Windows\System32\drivers\partmgr.sys [53120 2012-03-21] ()
R2 Parvdm; D:\Windows\System32\DRIVERS\parvdm.sys [8704 2008-01-18] ()
R0 pci; D:\Windows\System32\drivers\pci.sys [149480 2009-04-10] ()
R0 pciide; D:\Windows\System32\drivers\pciide.sys [14312 2009-04-10] ()
S4 pcmcia; D:\Windows\system32\drivers\pcmcia.sys [167528 2006-11-02] ()
R2 PEAUTH; D:\Windows\System32\drivers\peauth.sys [878080 2006-11-02] ()
R3 PptpMiniport; D:\Windows\System32\DRIVERS\raspptp.sys [62976 2008-01-18] ()
S4 Processor; D:\Windows\system32\drivers\processr.sys [38400 2006-11-02] ()
R1 PSched; D:\Windows\System32\DRIVERS\pacer.sys [72192 2009-04-10] ()
S4 ql2300; D:\Windows\system32\drivers\ql2300.sys [900712 2006-11-02] ()
S4 ql40xx; D:\Windows\system32\drivers\ql40xx.sys [106088 2006-11-02] ()
S3 QWAVEdrv; D:\Windows\system32\drivers\qwavedrv.sys [31232 2008-01-18] ()
R1 RasAcd; D:\Windows\System32\DRIVERS\rasacd.sys [11776 2008-01-18] ()
R3 Rasl2tp; D:\Windows\System32\DRIVERS\rasl2tp.sys [76288 2008-01-18] ()
R3 RasPppoe; D:\Windows\System32\DRIVERS\raspppoe.sys [41472 2009-04-10] ()
R3 RasSstp; D:\Windows\System32\DRIVERS\rassstp.sys [69120 2009-04-10] ()
R1 rdbss; D:\Windows\System32\DRIVERS\rdbss.sys [225280 2009-04-10] ()
R1 RDPCDD; D:\Windows\System32\DRIVERS\RDPCDD.sys [6144 2008-01-18] ()
S4 rdpdr; D:\Windows\system32\drivers\rdpdr.sys [242688 2006-11-02] ()
R1 RDPENCDD; D:\Windows\System32\drivers\rdpencdd.sys [6144 2008-01-18] ()
S3 RDPWD; D:\Windows\System32\Drivers\RDPWD.sys [180736 2012-05-01] ()
R2 rspndr; D:\Windows\System32\DRIVERS\rspndr.sys [60416 2008-01-18] ()
R3 RTL8169; D:\Windows\System32\DRIVERS\Rtlh86.sys [118784 2008-02-14] ()
S4 sbp2port; D:\Windows\system32\drivers\sbp2port.sys [76392 2006-11-02] ()
R2 secdrv; D:\Windows\System32\Drivers\secdrv.sys [20480 2006-11-02] ()
R3 Serenum; D:\Windows\System32\DRIVERS\serenum.sys [17920 2008-01-18] ()
R1 Serial; D:\Windows\System32\DRIVERS\serial.sys [83456 2008-01-18] ()
S4 sermouse; D:\Windows\system32\drivers\sermouse.sys [19968 2008-01-18] ()
S4 sffdisk; D:\Windows\system32\drivers\sffdisk.sys [13312 2006-11-02] ()
S3 sffp_mmc; D:\Windows\system32\drivers\sffp_mmc.sys [12800 2006-11-02] ()
S3 sffp_sd; D:\Windows\system32\drivers\sffp_sd.sys [12800 2006-11-02] ()
S4 sfloppy; D:\Windows\system32\drivers\sfloppy.sys [13312 2006-11-02] ()
S3 sisagp; D:\Windows\system32\drivers\sisagp.sys [53352 2006-11-02] ()
S4 SiSRaid2; D:\Windows\system32\drivers\sisraid2.sys [38504 2006-11-02] ()
S4 SiSRaid4; D:\Windows\system32\drivers\sisraid4.sys [71784 2006-11-02] ()
R1 Smb; D:\Windows\System32\DRIVERS\smb.sys [66560 2009-04-10] ()
R0 spldr; D:\Windows\System32\Drivers\spldr.sys [21048 2008-01-18] ()
R3 srv; D:\Windows\System32\DRIVERS\srv.sys [305152 2011-02-18] ()
R3 srv2; D:\Windows\System32\DRIVERS\srv2.sys [146432 2011-04-29] ()
R3 srvnet; D:\Windows\System32\DRIVERS\srvnet.sys [102400 2011-04-29] ()
S3 ssmdrv; D:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-09-11] (Avira GmbH)
R3 swenum; D:\Windows\System32\DRIVERS\swenum.sys [15288 2008-01-18] ()
S4 Symc8xx; D:\Windows\system32\drivers\symc8xx.sys [35944 2006-11-02] ()
S4 Sym_hi; D:\Windows\system32\drivers\sym_hi.sys [31848 2006-11-02] ()
S4 Sym_u3; D:\Windows\system32\drivers\sym_u3.sys [34920 2006-11-02] ()
R0 Tcpip; D:\Windows\System32\drivers\tcpip.sys [905576 2013-01-04] ()
S3 Tcpip6; D:\Windows\System32\DRIVERS\tcpip.sys [905576 2013-01-04] ()
R2 tcpipreg; D:\Windows\System32\drivers\tcpipreg.sys [30720 2009-12-08] ()
S3 TDPIPE; D:\Windows\System32\drivers\tdpipe.sys [17920 2008-01-18] ()
S3 TDTCP; D:\Windows\System32\drivers\tdtcp.sys [29184 2008-01-18] ()
R1 tdx; D:\Windows\System32\DRIVERS\tdx.sys [72192 2009-04-10] ()
R1 TermDD; D:\Windows\System32\DRIVERS\termdd.sys [53224 2009-04-10] ()
S3 tssecsrv; D:\Windows\System32\DRIVERS\tssecsrv.sys [23552 2008-01-18] ()
R3 tunmp; D:\Windows\System32\DRIVERS\tunmp.sys [15360 2008-01-19] ()
R3 tunnel; D:\Windows\System32\DRIVERS\tunnel.sys [25088 2010-02-18] ()
S3 uagp35; D:\Windows\system32\drivers\uagp35.sys [56936 2006-11-02] ()
S4 udfs; D:\Windows\System32\DRIVERS\udfs.sys [226816 2009-04-10] ()
S3 uliagpkx; D:\Windows\system32\drivers\uliagpkx.sys [58472 2006-11-02] ()
S4 uliahci; D:\Windows\system32\drivers\uliahci.sys [235112 2006-11-02] ()
S4 UlSata; D:\Windows\system32\drivers\ulsata.sys [98408 2006-11-02] ()
S4 ulsata2; D:\Windows\system32\drivers\ulsata2.sys [115816 2006-11-02] ()
R3 umbus; D:\Windows\System32\DRIVERS\umbus.sys [34816 2008-01-18] ()
R3 usbccgp; D:\Windows\System32\DRIVERS\usbccgp.sys [73216 2008-01-18] ()
S4 usbcir; D:\Windows\system32\drivers\usbcir.sys [68608 2006-11-02] ()
R3 usbehci; D:\Windows\System32\DRIVERS\usbehci.sys [39936 2009-04-10] ()
R3 usbhub; D:\Windows\System32\DRIVERS\usbhub.sys [196096 2009-04-10] ()
S3 usbohci; D:\Windows\System32\DRIVERS\usbohci.sys [19456 2009-04-10] ()
S3 usbprint; D:\Windows\System32\DRIVERS\usbprint.sys [18944 2008-01-18] ()
R3 usbuhci; D:\Windows\System32\DRIVERS\usbuhci.sys [23552 2008-01-18] ()
S3 vga; D:\Windows\System32\DRIVERS\vgapnp.sys [26112 2006-11-02] ()
R1 VgaSave; D:\Windows\System32\drivers\vga.sys [25088 2008-01-18] ()
S3 viaagp; D:\Windows\system32\drivers\viaagp.sys [54376 2006-11-02] ()
S4 ViaC7; D:\Windows\system32\drivers\viac7.sys [39424 2006-11-02] ()
S4 viaide; D:\Windows\system32\drivers\viaide.sys [17512 2006-11-02] ()
R0 volmgr; D:\Windows\System32\drivers\volmgr.sys [52792 2008-01-18] ()
R0 volmgrx; D:\Windows\System32\drivers\volmgrx.sys [292840 2009-04-10] ()
R0 volsnap; D:\Windows\System32\drivers\volsnap.sys [224640 2012-08-21] ()
S4 vsmraid; D:\Windows\system32\drivers\vsmraid.sys [112232 2006-11-02] ()
S4 WacomPen; D:\Windows\system32\drivers\wacompen.sys [20608 2006-11-02] ()
S3 Wanarp; D:\Windows\System32\DRIVERS\wanarp.sys [62464 2008-01-18] ()
R1 Wanarpv6; D:\Windows\System32\DRIVERS\wanarp.sys [62464 2008-01-18] ()
S4 Wd; D:\Windows\system32\drivers\wd.sys [19560 2006-11-02] ()
R0 Wdf01000; D:\Windows\System32\drivers\Wdf01000.sys [526952 2012-07-26] ()
S4 WmiAcpi; D:\Windows\system32\drivers\wmiacpi.sys [11264 2006-11-02] ()
S4 ws2ifsl; D:\Windows\system32\drivers\ws2ifsl.sys [15872 2008-01-18] ()
R3 WudfPf; D:\Windows\System32\drivers\WudfPf.sys [66560 2012-07-26] ()
R3 WUDFRd; D:\Windows\System32\DRIVERS\WUDFRd.sys [155136 2012-07-26] ()
S3 xnacc; D:\Windows\System32\DRIVERS\xnacc.sys [514560 2006-11-02] ()
S3 xusb21; D:\Windows\System32\DRIVERS\xusb21.sys [56448 2009-04-08] ()
S3 yukonwlh; D:\Windows\System32\DRIVERS\yk60x86.sys [194048 2006-11-02] ()
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
U5 c934d3de23958720; D:\Windows\System32\Drivers\c934d3de23958720.sys [61056 2013-07-11] ()
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-09-25 19:32 - 2013-09-25 19:32 - 00000000 ____D D:\FRST
2013-09-25 19:32 - 2013-09-25 19:32 - 00000000 _____ D:\Windows\setuperr.log
2013-09-25 19:32 - 2013-09-25 19:32 - 00000000 _____ D:\Windows\setupact.log
2013-09-25 19:30 - 2013-09-24 17:57 - 01088653 _____ (Farbar) D:\Users\XXX\Desktop\FRST.exe
2013-09-23 22:00 - 2013-09-23 22:00 - 00041192 _____ D:\Users\XXX\Desktop\AVSCAN-20130923-180124-DFBF5415.LOG
2013-09-23 17:58 - 2013-09-25 19:17 - 00000884 _____ D:\Windows\Tasks\Adobe Flash Player Updater.job

==================== One Month Modified Files and Folders =======

2013-09-25 19:32 - 2013-09-25 19:32 - 00000000 ____D D:\FRST
2013-09-25 19:32 - 2013-09-25 19:32 - 00000000 _____ D:\Windows\setuperr.log
2013-09-25 19:32 - 2013-09-25 19:32 - 00000000 _____ D:\Windows\setupact.log
2013-09-25 19:32 - 2012-09-24 22:06 - 00000000 ____D D:\Program Files\Steam
2013-09-25 19:31 - 2012-09-24 23:28 - 00000000 ____D D:\ProgramData\NVIDIA
2013-09-25 19:31 - 2006-11-02 15:01 - 00000006 ____H D:\Windows\Tasks\SA.DAT
2013-09-25 19:31 - 2006-11-02 14:47 - 00004080 ____H D:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-25 19:31 - 2006-11-02 14:47 - 00004080 ____H D:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-25 19:24 - 2006-11-02 15:01 - 00032598 _____ D:\Windows\Tasks\SCHEDLGU.TXT
2013-09-25 19:23 - 2006-11-02 12:33 - 01566368 _____ D:\Windows\system32\PerfStringBackup.INI
2013-09-25 19:17 - 2013-09-23 17:58 - 00000884 _____ D:\Windows\Tasks\Adobe Flash Player Updater.job
2013-09-24 17:57 - 2013-09-25 19:30 - 01088653 _____ (Farbar) D:\Users\Thorsten\Desktop\FRST.exe
2013-09-23 22:00 - 2013-09-23 22:00 - 00041192 _____ D:\Users\Thorsten\Desktop\AVSCAN-20130923-180124-DFBF5415.LOG
2013-09-23 17:58 - 2012-11-02 20:29 - 00692616 _____ (Adobe Systems Incorporated) D:\Windows\system32\FlashPlayerApp.exe
2013-09-23 17:58 - 2012-11-02 20:29 - 00071048 _____ (Adobe Systems Incorporated) D:\Windows\system32\FlashPlayerCPLApp.cpl

ZeroAccess:
D:\$Recycle.Bin\S-1-5-21-1240786759-2920363279-3387687890-1000\$4ead5e84ebf29d959cf68eedeacc3359

ZeroAccess:
D:\$Recycle.Bin\S-1-5-18\$4ead5e84ebf29d959cf68eedeacc3359

==================== Bamital & volsnap Check =================

D:\Windows\explorer.exe => MD5 is legit
D:\Windows\System32\winlogon.exe => MD5 is legit
D:\Windows\System32\wininit.exe => MD5 is legit
D:\Windows\System32\svchost.exe => MD5 is legit
D:\Windows\System32\services.exe => MD5 is legit
D:\Windows\System32\User32.dll => MD5 is legit
D:\Windows\System32\userinit.exe => MD5 is legit
D:\Windows\System32\Drivers\volsnap.sys
[2012-12-30 19:42] - [2012-08-21 13:47] - 0224640 ____A () D41D8CD98F00B204E9800998ECF8427E

D:\Windows\System32\Drivers\volsnap.sys IS INFECTED. <===== ATTENTION!

D:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: D:\Program Files\Windows Defender


LastRegBack: 2013-09-25 19:22

==================== End Of Log ============================

--- --- ---

--- --- ---

Und die Addition

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 24-09-2013
Ran by XXX at 2013-09-25 19:33:23
Running from D:\Users\XXX\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Avira Desktop (Enabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AS: Avira Desktop (Enabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

==================== Installed Programs ======================

Adobe Flash Player 11 ActiveX (Version: 11.8.800.175)
Adobe Reader 8.1.2 - Deutsch (Version: 8.1.2)
Avira Free Antivirus (Version: 12.1.9.2500)
BioShock Demo (Version: 1.09.0000)
BrettspielWelt (Version: 1.0)
Crysis(R) SP Demo (Version: 1.00.0000)
Dev-C++ 5 beta 9 release (4.9.9.2)
Drakensang
Energy Saver Advance B8.0520.1 (Version: 1.10.0000)
F1 2012 Demo
Heroes of Might and Magic V
ICQ7.2 (Version: 7.2)
Java Auto Updater (Version: 2.1.6.0)
Java(TM) 7 Update 4 (Version: 7.0.40)
Logitech GamePanel Software 2.00 (Version: 2.00.171)
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu (Version: 3.5.30729)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended DEU Language Pack (Version: 4.0.30319)
Microsoft Age of Empires II
Microsoft Office Standard Edition 2003 (Version: 11.0.5614.0)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.56336)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
NVIDIA 3D Vision Controller-Treiber 306.23 (Version: 306.23)
NVIDIA 3D Vision Treiber 311.06 (Version: 311.06)
NVIDIA Grafiktreiber 311.06 (Version: 311.06)
NVIDIA HD-Audiotreiber 1.3.18.0 (Version: 1.3.18.0)
NVIDIA Install Application (Version: 2.1002.108.688)
NVIDIA PhysX (Version: 9.12.0604)
NVIDIA PhysX-Systemsoftware 9.12.0604 (Version: 9.12.0604)
NVIDIA Stereoscopic 3D Driver (Version: 7.17.13.1106)
NVIDIA Systemsteuerung 311.06 (Version: 311.06)
NVIDIA Update 1.11.3 (Version: 1.11.3)
NVIDIA Update Components (Version: 1.11.3)
OpenAL
SketchUp 2013 (Version: 13.0.4124)
Starcraft
Steam (Version: 1.0.0.0)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
XCOM: Enemy Unknown Demo

==================== Restore Points  =========================


==================== Hosts content: ==========================

2006-11-02 12:23 - 2006-09-18 23:41 - 00000761 ____A D:\Windows\system32\Drivers\etc\hosts
127.0.0.1       localhost
::1             localhost

==================== Scheduled Tasks (whitelisted) =============

Task: {09D6273D-7596-4D9E-84D7-D13234CB7EEF} - System32\Tasks\Adobe Flash Player Updater => D:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-09-23] (Adobe Systems Incorporated)
Task: {1CC81347-6204-4B83-900C-01E02F50F067} - System32\Tasks\Microsoft\Windows\MobilePC\TMM
Task: {3BCDF251-CA5C-4045-A1FC-8FCEF9FBDC93} - System32\Tasks\Microsoft\Windows\Shell\CrawlStartPages
Task: {44980BEE-7809-44A9-AC24-D6E578A3B7DF} - System32\Tasks\Microsoft\Windows\RAC\RACAgent => D:\Windows\system32\RacAgent.exe [2008-01-18] (Microsoft Corporation)
Task: {50352F05-D7D6-4736-9DD7-775D665DF416} - System32\Tasks\User_Feed_Synchronization-{B86B80EF-65F2-40C4-83FF-8D76AFED7E63} => D:\Windows\system32\msfeedssync.exe [2012-09-27] (Microsoft Corporation)
Task: {739C2CE2-B3A2-41FD-8350-45F305605914} - System32\Tasks\CreateChoiceProcessTask => D:\Windows\System32\browserchoice.exe [2010-02-12] (Microsoft Corporation)
Task: {A728AE6B-5AB8-4223-AD3E-E6341441A01C} - System32\Tasks\Microsoft\Windows\PLA\System\ConvertLogEntries => D:\Windows\system32\pla.dll [2008-01-18] (Microsoft Corporation)
Task: {DAB95CEA-DAE1-403E-BB30-7D53BA8E0EDB} - System32\Tasks\Microsoft\Windows\NetworkAccessProtection\NAPStatus UI
Task: {E5150B95-F9B4-4D5D-95A2-7EC1ACBA95F8} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => D:\Windows\system32\gatherWirelessInfo.vbs [2008-01-05] ()
Task: D:\Windows\Tasks\Adobe Flash Player Updater.job => D:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) =============

2012-09-24 23:23 - 2013-02-26 00:22 - 02505144 _____ (NVIDIA Corporation) D:\Windows\system32\nvapi.dll
2012-09-24 23:23 - 2013-02-26 00:22 - 15129960 _____ (NVIDIA Corporation) D:\Windows\system32\nvd3dum.dll
2006-11-02 14:35 - 2006-11-02 14:35 - 00116736 _____ (Microsoft Corporation) D:\Windows\eHome\ehProxy.dll

==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider


System errors:
=============
Error: (09/25/2013 07:33:17 PM) (Source: Service Control Manager) (User: )
Description: Avira Realtime Protection307 (0x133)

Error: (09/25/2013 07:33:17 PM) (Source: Service Control Manager) (User: )
Description: IPsec-Richtlinien-AgentBFE

Error: (09/25/2013 07:33:17 PM) (Source: Service Control Manager) (User: )
Description: IKE- und AuthIP IPsec-SchlüsselerstellungsmoduleBFE

Error: (09/25/2013 07:33:17 PM) (Source: Service Control Manager) (User: )
Description: Computerbrowser%%1060

Error: (09/25/2013 07:33:17 PM) (Source: Service Control Manager) (User: )
Description: avgntflt%%31

Error: (09/25/2013 07:18:56 PM) (Source: Service Control Manager) (User: )
Description: NVIDIA Update Service Daemon%%1069

Error: (09/25/2013 07:18:56 PM) (Source: Service Control Manager) (User: )
Description: nvUpdatusService.\UpdatusUser%%1330

Error: (09/25/2013 07:18:08 PM) (Source: Service Control Manager) (User: )
Description: Avira Realtime Protection307 (0x133)

Error: (09/25/2013 07:18:08 PM) (Source: Service Control Manager) (User: )
Description: IPsec-Richtlinien-AgentBFE

Error: (09/25/2013 07:18:08 PM) (Source: Service Control Manager) (User: )
Description: IKE- und AuthIP IPsec-SchlüsselerstellungsmoduleBFE


Microsoft Office Sessions:
=========================
Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider

Error: (09/25/2013 07:33:25 PM) (Source: VSS)(User: )
Description: CreateFileW(\\?\Volume{36f83010-00a8-11dc-8a5d-806e6f6e6963},0x80000000,0x00000003,...)0x80070005

Vorgang:
   Automatisch freigegebene Schattenkopien werden entfernt
   Anbieter wird geladen

Kontext:
   Ausführungskontext: System Provider


CodeIntegrity Errors:
===================================
  Date: 2012-09-25 17:41:38.509
  Description: N/A

  Date: 2012-09-25 17:41:38.446
  Description: N/A

  Date: 2012-09-25 17:41:38.384
  Description: N/A

  Date: 2012-09-25 17:41:38.337
  Description: N/A

  Date: 2012-09-25 17:41:38.243
  Description: N/A

  Date: 2009-04-05 14:50:50.253
  Description: N/A

  Date: 2009-04-05 14:50:50.225
  Description: N/A


==================== Memory info =========================== 

Percentage of memory in use: 35%
Total physical RAM: 2045.57 MB
Available physical RAM: 1315.3 MB
Total Pagefile: 4328.15 MB
Available Pagefile: 3633.85 MB
Total Virtual: 2047.88 MB
Available Virtual: 1900.19 MB

==================== Drives ================================

Drive c: (Windows XP) (Fixed) (Total:29.29 GB) (Free:3.22 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Windows Vista) (Fixed) (Total:117.19 GB) (Free:65.57 GB) NTFS
Drive e: () (Fixed) (Total:156.25 GB) (Free:105.51 GB) NTFS
Drive f: (Sport) (Fixed) (Total:48.83 GB) (Free:13.97 GB) NTFS
Drive g: (Rollenspiel + Adventure) (Fixed) (Total:48.83 GB) (Free:0.4 GB) NTFS
Drive h: (Action + Strategie) (Fixed) (Total:48.83 GB) (Free:2.8 GB) NTFS
Drive i: () (Fixed) (Total:16.54 GB) (Free:0.19 GB) NTFS
Drive j: (EAW_1) (CDROM) (Total:1.22 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 466 GB) (Disk ID: 40744073)
Partition 1: (Active) - (Size=29 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=436 GB) - (Type=OF Extended)

==================== End Of Log ============================

Das war jetzt VISTA....

Bisher ist die XP Maschine unauffällig. Soll da später in separatem Thread nochmal geschaut werden, oder soll ich da auch einen Scan mit FRST anfertigen ?

schrauber · 26.09.2013, 08:11

Nee, Vista machen wir erst sauber, nettes Log

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Thoshy · 26.09.2013, 18:15

Hallo Schrauber,

wie ist der Kommentar zu verstehen ?

Ist der so verseucht ?

Hatte wieder ein Problem, denn Avira( geschlossener Schirm rechts) ließ sich nicht entfernen , weder Taskmanager , Dienst schließen usw.

Habe also trotz Warnmeldung mit deaktiviertem Echtzeitscanner aber laufendem Avira Dienst gescannt. Hoffe das war ok..

Hier der LOG von
Combofix

Code:

ATTFilter

ComboFix 13-09-26.03 - Thorsten 26.09.2013  18:46:06.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2046.1319 [GMT 2:00]
ausgeführt von:: d:\users\XXX\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\$recycle.bin\S-1-5-18\$4ead5e84ebf29d959cf68eedeacc3359\@
d:\$recycle.bin\S-1-5-18\$4ead5e84ebf29d959cf68eedeacc3359\o
d:\$recycle.bin\S-1-5-21-1240786759-2920363279-3387687890-1000\$4ead5e84ebf29d959cf68eedeacc3359\o
d:\windows\system32\tmpCEE3.tmp
d:\windows\system32\tmpCFAF.tmp
E:\install.exe
d:\windows\system32\drivers\c934d3de23958720.sys . . . . Nicht in der Lage zu löschen
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_syshost32
-------\Legacy_c934d3de23958720
-------\Service_c934d3de23958720
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-08-26 bis 2013-09-26  ))))))))))))))))))))))))))))))
.
.
2013-09-25 17:32 . 2013-09-25 17:32	--------	d-----w-	D:\FRST
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-09-26 16:54 . 2013-07-10 23:14	61056	----a-w-	d:\windows\system32\drivers\c934d3de23958720.sys
2013-09-26 16:53 . 2012-03-13 17:06	16608	----a-w-	d:\windows\gdrv.sys
2013-09-23 15:58 . 2012-11-02 18:29	71048	----a-w-	d:\windows\system32\FlashPlayerCPLApp.cpl
2013-09-23 15:58 . 2012-11-02 18:29	692616	----a-w-	d:\windows\system32\FlashPlayerApp.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="d:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-10 2153472]
"ehTray.exe"="d:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"Steam"="d:\program files\Steam\steam.exe" [2013-06-06 1641896]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LCDMon"="d:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"Launch LGDCore"="d:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="d:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-09-11 348664]
"SunJavaUpdateSched"="d:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfPf]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfRd]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - CFCATCHME
*NewlyCreated* - WS2IFSL
*Deregistered* - CFcatchme
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2013-09-25 d:\windows\Tasks\Adobe Flash Player Updater.job
- d:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-11-02 15:58]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-ICQ - d:\program files\ICQ6.5\ICQ.exe
.
.
.
**************************************************************************
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
@Denied: (2) (LocalSystem)
"{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}"=hex:51,66,7a,6c,4c,1d,38,12,f1,9d,97,
   02,e5,86,37,08,c7,6b,3b,0b,78,35,a4,a7
"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"=hex:51,66,7a,6c,4c,1d,38,12,d5,94,07,
   72,c2,98,42,03,c9,fd,97,9a,f4,87,69,57
"{DBC80044-A445-435B-BC74-9C25C1C588A9}"=hex:51,66,7a,6c,4c,1d,38,12,2a,03,db,
   df,77,ea,35,06,c3,62,df,65,c4,9b,cc,bd
"{FF059E31-CC5A-4E2E-BF3B-96E929D65503}"=hex:51,66,7a,6c,4c,1d,38,12,5f,9d,16,
   fb,68,82,40,0b,c0,2d,d5,a9,2c,88,11,17
"{BDEADE7F-C265-11D0-BCED-00A0C90AB50F}"=hex:51,66,7a,6c,4c,1d,38,12,11,dd,f9,
   b9,57,8c,be,54,c3,fb,43,e0,cc,54,f1,1b
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
@Denied: (2) (LocalSystem)
"Timestamp"=hex:20,81,fa,9d,9c,b8,ce,01
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\windows\system32\nvvsvc.exe
d:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
d:\windows\System32\WUDFHost.exe
d:\program files\Avira\AntiVir Desktop\sched.exe
d:\program files\Avira\AntiVir Desktop\avguard.exe
d:\program files\GIGABYTE\EnergySaver\GSvr.exe
d:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
d:\program files\NVIDIA Corporation\Display\nvxdsync.exe
d:\windows\system32\nvvsvc.exe
d:\windows\system32\conime.exe
d:\program files\Avira\AntiVir Desktop\avshadow.exe
d:\program files\NVIDIA Corporation\Display\nvtray.exe
d:\program files\Windows Media Player\wmpnscfg.exe
d:\windows\ehome\ehmsas.exe
d:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
d:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
d:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
d:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
d:\\?\d:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-09-26  18:58:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-09-26 16:58
.
Vor Suchlauf: 11 Verzeichnis(se), 69.311.852.544 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 68.913.549.312 Bytes frei
.
- - End Of File - - C34A08D2E3AE63504482720101E8F478
5C616939100B85E558DA92B899A0FC36

Danach ist ohne Fehler neu gestartet worden. Anders war, dass der STEAM -Login Screen wieder kam und das der AVIRA Schirm unten rechts wieder geöffnet war. Außerdem wurde begonnen ein Windows Update zu laden, was ich aber unterbunden habe.

Danke vorab für die weitere Begutachtung.

schrauber · 27.09.2013, 08:08

Joah, nett verseucht, aber das bekommen wir hin

Combofix bitte löschen, neu laden und nochmal laufen lassen.

Thoshy · 27.09.2013, 17:37

Diesmal sollte ich dann Avira versuchen zuzumachen ?

Gibt es einen Tipp, wie man es ganz sicher geschlossen kriegt, wenn einem das Beenden-Button nicht angezeigt wird ?

Hallo,

ich habe jetzt das zweite Log mit Combofix gemacht.

Diesmal konnte ich selber den Echtzeitscanner stoppen.. steht auch so im Log

COMBOFIX

Code:

ATTFilter

ComboFix 13-09-26.03 - Thorsten 27.09.2013  18:18:11.2.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2046.1083 [GMT 2:00]
ausgeführt von:: d:\users\XXX\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Outdated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Outdated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\windows\Installer\{C6D4CAA4-97E1-71A8-5A1F-9A4D39CDECA1}\syshost.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-08-27 bis 2013-09-27  ))))))))))))))))))))))))))))))
.
.
2013-09-27 16:24 . 2013-09-27 16:24	--------	d-----w-	d:\users\UpdatusUser\AppData\Local\temp
2013-09-27 16:24 . 2013-09-27 16:24	--------	d-----w-	d:\users\Default\AppData\Local\temp
2013-09-26 16:59 . 2013-09-26 16:59	--------	d-----w-	d:\windows\Logs
2013-09-25 17:32 . 2013-09-25 17:32	--------	d-----w-	D:\FRST
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-09-27 16:06 . 2012-03-13 17:06	16608	----a-w-	d:\windows\gdrv.sys
2013-09-26 16:54 . 2013-07-10 23:14	61056	----a-w-	d:\windows\system32\drivers\c934d3de23958720.sys
2013-09-23 15:58 . 2012-11-02 18:29	71048	----a-w-	d:\windows\system32\FlashPlayerCPLApp.cpl
2013-09-23 15:58 . 2012-11-02 18:29	692616	----a-w-	d:\windows\system32\FlashPlayerApp.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="d:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-10 2153472]
"ehTray.exe"="d:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"Steam"="d:\program files\Steam\steam.exe" [2013-06-06 1641896]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LCDMon"="d:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"Launch LGDCore"="d:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="d:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-09-11 348664]
"SunJavaUpdateSched"="d:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2013-09-27 d:\windows\Tasks\Adobe Flash Player Updater.job
- d:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-11-02 15:58]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-09-27 18:25
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
@Denied: (2) (LocalSystem)
"{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}"=hex:51,66,7a,6c,4c,1d,38,12,f1,9d,97,
   02,e5,86,37,08,c7,6b,3b,0b,78,35,a4,a7
"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"=hex:51,66,7a,6c,4c,1d,38,12,d5,94,07,
   72,c2,98,42,03,c9,fd,97,9a,f4,87,69,57
"{DBC80044-A445-435B-BC74-9C25C1C588A9}"=hex:51,66,7a,6c,4c,1d,38,12,2a,03,db,
   df,77,ea,35,06,c3,62,df,65,c4,9b,cc,bd
"{FF059E31-CC5A-4E2E-BF3B-96E929D65503}"=hex:51,66,7a,6c,4c,1d,38,12,5f,9d,16,
   fb,68,82,40,0b,c0,2d,d5,a9,2c,88,11,17
"{BDEADE7F-C265-11D0-BCED-00A0C90AB50F}"=hex:51,66,7a,6c,4c,1d,38,12,11,dd,f9,
   b9,57,8c,be,54,c3,fb,43,e0,cc,54,f1,1b
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
@Denied: (2) (LocalSystem)
"Timestamp"=hex:20,81,fa,9d,9c,b8,ce,01
.
Zeit der Fertigstellung: 2013-09-27  18:26:45
ComboFix-quarantined-files.txt  2013-09-27 16:26
.
Vor Suchlauf: 12 Verzeichnis(se), 68.824.293.376 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 68.606.218.240 Bytes frei
.
- - End Of File - - F925C35B9F6CA3A98E5BE720B4ED96D5
5C616939100B85E558DA92B899A0FC36

schrauber · 28.09.2013, 12:11

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Thoshy · 30.09.2013, 18:43

Hallo Schrauber,

hat nen Moment gedauert und die FRST s kann ich auch morgen erst machen.

Malware Log

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.09.30.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Thorsten :: XXX [Administrator]

Schutz: Aktiviert

30.09.2013 18:31:13
mbam-log-2013-09-30 (18-31-13).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 213406
Laufzeit: 14 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

hier ADW Cleaner

Code:

ATTFilter

# AdwCleaner v3.005 - Bericht erstellt am 30/09/2013 um 18:52:24
# Updated 22/09/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzername : Thorsten - XXX
# Gestartet von : D:\Users\XXX\Desktop\adwcleaner.exe
# Option : Suchen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Browser ] *****

-\\ Internet Explorer v9.0.8112.16483


*************************

AdwCleaner[R0].txt - [544 octets] - [30/09/2013 18:52:24]

########## EOF - D:\AdwCleaner\AdwCleaner[R0].txt - [603 octets] ##########

und noch JRT

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.3 (09.27.2013:1)
OS: Windows Vista (TM) Home Premium x86
Ran by Thorsten on 30.09.2013 at 19:28:16,49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 30.09.2013 at 19:30:00,63
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

FRST kann ich nicht ge,äß Anleitung mit Windows reparieren ---> Eingabeaufforderung usw. machen, da ich DUAL Bios Startmenue habe..wird mir nicht angezeigt.

Kann ich das wieder von sauberem PC auf den Vista Desktop kopieren und von dort mit doppelklick starten ??

Gruß

Thorsten

schrauber · 01.10.2013, 16:00

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme?

Thoshy · 02.10.2013, 20:49

Hallo Schrauber,

fühlt sich schon wieder gut an.. Firewall ist an , Avira Echtzeitscanner ist an.. zieht sich Windows Updates...

Konnte nur den Ordner vom ESET Scanner nicht manuell löschen...

Hier die Logs

ESET

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=e3899318e604984c8c94a0913c5328dc
# engine=15335
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-10-02 07:15:23
# local_time=2013-10-02 09:15:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1799 16775165 100 98 9661 33360921 2431 0
# compatibility_mode=5892 16776574 100 100 32152260 218274051 0 0
# scanned=343935
# found=7
# cleaned=0
# scan_time=9204
sh=410B32FD3FE4642644AD91AC60C69B86EC2762DD ft=1 fh=0e378a435beab91a vn="a variant of Win32/Adware.Yontoo.B application" ac=I fn="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setupx.dll"
sh=410B32FD3FE4642644AD91AC60C69B86EC2762DD ft=1 fh=0e378a435beab91a vn="a variant of Win32/Adware.Yontoo.B application" ac=I fn="C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\C3CB686E\_Setupx.dll"
sh=BC8FB44A53B3553C204CF28C5801191F7DEA6B70 ft=1 fh=136805f5bcbd4233 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\ibtmpc810551\component_583"
sh=D6866C2BC4FF96A6B29ADC686B6ED5112A0F92F9 ft=1 fh=15328346b1fd4461 vn="Win32/Sirefef.EV trojan" ac=I fn="D:\Qoobox\Quarantine\D\$Recycle.Bin\S-1-5-18\$4ead5e84ebf29d959cf68eedeacc3359\o.vir"
sh=D6866C2BC4FF96A6B29ADC686B6ED5112A0F92F9 ft=1 fh=15328346b1fd4461 vn="Win32/Sirefef.EV trojan" ac=I fn="D:\Qoobox\Quarantine\D\$Recycle.Bin\S-1-5-21-1240786759-2920363279-3387687890-1000\$4ead5e84ebf29d959cf68eedeacc3359\o.vir"
sh=83CA940409926ACD2744D308D052D3F33268CAFB ft=1 fh=3eba1b8a727230ef vn="Win32/TrojanDownloader.Necurs.B trojan" ac=I fn="D:\Qoobox\Quarantine\D\Windows\Installer\{C6D4CAA4-97E1-71A8-5A1F-9A4D39CDECA1}\syshost.exe.vir"
sh=7A5F5286C5580B9FE1C548B86650B36808CCFDA2 ft=0 fh=0000000000000000 vn="Win32/TrojanDownloader.Necurs.A trojan" ac=I fn="D:\Qoobox\Quarantine\D\Windows\System32\drivers\_c934d3de23958720_.sys.zip"

Mei das Ding braucht ja mal lange

Security Check

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.73  
 Windows Vista Service Pack 2 x86 (UAC is disabled!)  
 Internet Explorer 9  
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java(TM) 7 Update 4  
 Java version out of Date! 
 Adobe Reader 8 Adobe Reader out of Date! 
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive D:  % 
````````````````````End of Log``````````````````````

und noch ein FRST Addition war nicht automatischangehakt und auch nicht verlangt.. hoffe das is so ok

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-10-2013
Ran by Thorsten (administrator) on THORSTEN-PC on 02-10-2013 21:41:48
Running from D:\Users\Thorsten\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) D:\Windows\system32\nvvsvc.exe
(NVIDIA Corporation) D:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(Microsoft Corporation) D:\Windows\system32\SLsvc.exe
(Avira Operations GmbH & Co. KG) D:\Program Files\Avira\AntiVir Desktop\sched.exe
(NVIDIA Corporation) D:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) D:\Windows\system32\nvvsvc.exe
(Avira Operations GmbH & Co. KG) D:\Program Files\Avira\AntiVir Desktop\avguard.exe
() D:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
(Microsoft Corporation) D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
(Avira Operations GmbH & Co. KG) D:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(NVIDIA Corporation) D:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
(Avira Operations GmbH & Co. KG) D:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Sun Microsystems, Inc.) D:\Program Files\Common Files\Java\Java Update\jusched.exe
(Microsoft Corporation) D:\Program Files\Windows Sidebar\sidebar.exe
(Microsoft Corporation) D:\Windows\ehome\ehtray.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
(Logitech Inc.) D:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
(Microsoft Corporation) D:\Windows\ehome\ehmsas.exe
(Microsoft Corporation) D:\Program Files\Windows Media Player\wmpnscfg.exe
(Sun Microsystems, Inc.) D:\Program Files\Common Files\Java\Java Update\jucheck.exe
(Microsoft Corporation) D:\Windows\system32\conime.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Launch LCDMon] - D:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe [1687824 2007-07-18] (Logitech Inc.)
HKLM\...\Run: [Launch LGDCore] - D:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe [2094352 2007-07-18] (Logitech Inc.)
HKLM\...\Run: [Adobe Reader Speed Launcher] - D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [39792 2008-01-11] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - D:\Program Files\Avira\AntiVir Desktop\avgnt.exe [348664 2012-09-11] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SunJavaUpdateSched] - D:\Program Files\Common Files\Java\Java Update\jusched.exe [252296 2012-01-17] (Sun Microsystems, Inc.)
HKCU\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKCU\...\Run: [ehTray.exe] - D:\Windows\ehome\ehTray.exe [125952 2008-01-18] (Microsoft Corporation)
HKCU\...\Run: [Steam] - D:\Program Files\Steam\steam.exe [1814440 2013-09-21] (Valve Corporation)
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\UpdatusUser\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x73372D262DBCCE01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
SearchScopes: HKCU - DefaultScope {D29E2560-57DF-4455-AC79-C934296271F6} URL = hxxp://www.google.de/search?q={searchTerms}
SearchScopes: HKCU - {D29E2560-57DF-4455-AC79-C934296271F6} URL = hxxp://www.google.de/search?q={searchTerms}
BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/5/b/0/5b0d4654-aa20-495c-b89f-c1c34c691085/LegitCheckControl.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; D:\Program Files\Avira\AntiVir Desktop\sched.exe [86224 2012-09-11] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; D:\Program Files\Avira\AntiVir Desktop\avguard.exe [110032 2012-09-11] (Avira Operations GmbH & Co. KG)
R2 GEST Service; D:\Program Files\GIGABYTE\EnergySaver\GSvr.exe [80392 2008-05-13] ()
S2 MBAMScheduler; D:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
S2 MBAMService; D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; D:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-09-11] (Avira GmbH)
R1 avipbb; D:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-09-11] (Avira GmbH)
R1 avkmgr; D:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-09-11] (Avira GmbH)
R0 CLFS; D:\Windows\System32\CLFS.sys [245736 2009-04-10] (Microsoft Corporation)
R3 gdrv; D:\Windows\gdrv.sys [16608 2013-10-02] (Windows (R) 2000 DDK provider)
S3 MBAMProtector; D:\Windows\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
S3 ssmdrv; D:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-09-11] (Avira GmbH)
S3 xnacc; D:\Windows\System32\DRIVERS\xnacc.sys [514560 2006-11-02] (Microsoft Corporation)
U5 AppMgmt; D:\Windows\system32\svchost.exe [21504 2008-01-18] (Microsoft Corporation)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 catchme; \??\D:\Users\Thorsten\AppData\Local\Temp\catchme.sys [x]
S3 CFcatchme; \??\D:\Users\Thorsten\AppData\Local\Temp\CFcatchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-02 21:39 - 2013-10-02 21:39 - 00000876 _____ D:\Users\Thorsten\Desktop\checkup.txt
2013-10-02 21:25 - 2013-10-02 21:25 - 00000927 _____ D:\Users\Thorsten\Desktop\eset.txt
2013-10-02 18:39 - 2013-10-02 18:39 - 00000000 ____D D:\Program Files\ESET
2013-10-02 18:36 - 2013-10-02 18:36 - 00000000 ____H D:\Windows\system32\Drivers\Msft_User_WpdFs_01_07_00.Wdf
2013-10-02 18:25 - 2013-10-02 18:25 - 01087213 _____ (Farbar) D:\Users\Thorsten\Desktop\FRST.exe
2013-10-02 18:24 - 2013-10-02 18:24 - 00891144 _____ D:\Users\Thorsten\Desktop\SecurityCheck.exe
2013-10-02 18:23 - 2013-10-02 18:23 - 02347384 _____ (ESET) D:\Users\Thorsten\Desktop\esetsmartinstaller_enu.exe
2013-09-30 19:30 - 2013-09-30 19:30 - 00000637 _____ D:\Users\Thorsten\Desktop\JRT.txt
2013-09-30 19:28 - 2013-09-30 19:28 - 00000000 ____D D:\Windows\ERUNT
2013-09-30 19:26 - 2013-09-30 19:26 - 00000682 _____ D:\Users\Thorsten\Desktop\AdwCleaner[R0].txt
2013-09-30 18:52 - 2013-09-30 18:52 - 00000000 ____D D:\AdwCleaner
2013-09-30 18:46 - 2013-07-31 12:30 - 12335104 _____ (Microsoft Corporation) D:\Windows\system32\mshtml.dll
2013-09-30 18:46 - 2013-07-31 12:05 - 09738752 _____ (Microsoft Corporation) D:\Windows\system32\ieframe.dll
2013-09-30 18:46 - 2013-07-31 12:00 - 01800704 _____ (Microsoft Corporation) D:\Windows\system32\jscript9.dll
2013-09-30 18:46 - 2013-07-31 11:53 - 01104896 _____ (Microsoft Corporation) D:\Windows\system32\urlmon.dll
2013-09-30 18:46 - 2013-07-31 11:52 - 01427968 _____ (Microsoft Corporation) D:\Windows\system32\inetcpl.cpl
2013-09-30 18:46 - 2013-07-31 11:52 - 01129472 _____ (Microsoft Corporation) D:\Windows\system32\wininet.dll
2013-09-30 18:46 - 2013-07-31 11:51 - 00231936 _____ (Microsoft Corporation) D:\Windows\system32\url.dll
2013-09-30 18:46 - 2013-07-31 11:49 - 00065024 _____ (Microsoft Corporation) D:\Windows\system32\jsproxy.dll
2013-09-30 18:46 - 2013-07-31 11:48 - 00717824 _____ (Microsoft Corporation) D:\Windows\system32\jscript.dll
2013-09-30 18:46 - 2013-07-31 11:48 - 00420864 _____ (Microsoft Corporation) D:\Windows\system32\vbscript.dll
2013-09-30 18:46 - 2013-07-31 11:48 - 00142848 _____ (Microsoft Corporation) D:\Windows\system32\ieUnatt.exe
2013-09-30 18:46 - 2013-07-31 11:47 - 00607744 _____ (Microsoft Corporation) D:\Windows\system32\msfeeds.dll
2013-09-30 18:46 - 2013-07-31 11:46 - 01796096 _____ (Microsoft Corporation) D:\Windows\system32\iertutil.dll
2013-09-30 18:46 - 2013-07-31 11:45 - 02382848 _____ (Microsoft Corporation) D:\Windows\system32\mshtml.tlb
2013-09-30 18:46 - 2013-07-31 11:45 - 00073216 _____ (Microsoft Corporation) D:\Windows\system32\mshtmled.dll
2013-09-30 18:46 - 2013-07-31 11:42 - 00176640 _____ (Microsoft Corporation) D:\Windows\system32\ieui.dll
2013-09-30 18:24 - 2013-09-30 18:28 - 00000000 ____D D:\Windows\system32\MRT
2013-09-30 18:20 - 2013-09-30 18:20 - 00000919 _____ D:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-09-30 18:20 - 2013-09-30 18:20 - 00000000 ____D D:\Users\Thorsten\AppData\Roaming\Malwarebytes
2013-09-30 18:20 - 2013-09-30 18:20 - 00000000 ____D D:\ProgramData\Malwarebytes
2013-09-30 18:20 - 2013-09-30 18:20 - 00000000 ____D D:\Program Files\Malwarebytes' Anti-Malware
2013-09-30 18:20 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) D:\Windows\system32\Drivers\mbam.sys
2013-09-30 18:12 - 2013-09-30 18:12 - 01030305 _____ (Thisisu) D:\Users\Thorsten\Desktop\JRT.exe
2013-09-30 18:11 - 2013-09-30 18:11 - 01042066 _____ D:\Users\Thorsten\Desktop\adwcleaner.exe
2013-09-30 18:10 - 2013-09-30 18:10 - 10285040 _____ (Malwarebytes Corporation                                    ) D:\Users\Thorsten\Desktop\mbam-setup-1.75.0.1300.exe
2013-09-28 10:35 - 2013-07-05 06:53 - 00905664 _____ (Microsoft Corporation) D:\Windows\system32\Drivers\tcpip.sys
2013-09-28 10:35 - 2013-06-15 15:22 - 00015872 _____ (Microsoft Corporation) D:\Windows\system32\icaapi.dll
2013-09-28 10:35 - 2013-06-15 13:23 - 00024064 _____ (Microsoft Corporation) D:\Windows\system32\Drivers\tssecsrv.sys
2013-09-28 10:34 - 2013-08-08 03:45 - 02049536 _____ (Microsoft Corporation) D:\Windows\system32\win32k.sys
2013-09-28 10:34 - 2013-08-02 06:09 - 01548288 _____ (Microsoft Corporation) D:\Windows\system32\WMVDECOD.DLL
2013-09-28 10:34 - 2013-07-17 21:41 - 00002048 _____ (Microsoft Corporation) D:\Windows\system32\tzres.dll
2013-09-28 10:34 - 2013-07-16 06:35 - 00615936 _____ (Microsoft Corporation) D:\Windows\system32\themeui.dll
2013-09-28 10:34 - 2013-07-10 11:47 - 00783360 _____ (Microsoft Corporation) D:\Windows\system32\rpcrt4.dll
2013-09-28 10:34 - 2013-07-09 14:10 - 01205168 _____ (Microsoft Corporation) D:\Windows\system32\ntdll.dll
2013-09-28 10:34 - 2013-07-08 06:55 - 03603904 _____ (Microsoft Corporation) D:\Windows\system32\ntkrnlpa.exe
2013-09-28 10:34 - 2013-07-08 06:55 - 03551680 _____ (Microsoft Corporation) D:\Windows\system32\ntoskrnl.exe
2013-09-28 10:33 - 2013-07-08 06:20 - 00172544 _____ (Microsoft Corporation) D:\Windows\system32\wintrust.dll
2013-09-28 10:33 - 2013-07-08 06:16 - 00992768 _____ (Microsoft Corporation) D:\Windows\system32\crypt32.dll
2013-09-28 10:33 - 2013-07-08 06:16 - 00133120 _____ (Microsoft Corporation) D:\Windows\system32\cryptsvc.dll
2013-09-28 10:33 - 2013-07-08 06:16 - 00098304 _____ (Microsoft Corporation) D:\Windows\system32\cryptnet.dll
2013-09-28 10:26 - 2013-06-01 06:06 - 00505344 _____ (Microsoft Corporation) D:\Windows\system32\qedit.dll
2013-09-28 10:26 - 2013-04-17 13:28 - 01029120 _____ (Microsoft Corporation) D:\Windows\system32\d3d10.dll
2013-09-28 10:26 - 2013-04-17 13:28 - 00219648 _____ (Microsoft Corporation) D:\Windows\system32\d3d10_1core.dll
2013-09-28 10:26 - 2013-04-17 13:28 - 00189952 _____ (Microsoft Corporation) D:\Windows\system32\d3d10core.dll
2013-09-28 10:26 - 2013-04-17 13:28 - 00160768 _____ (Microsoft Corporation) D:\Windows\system32\d3d10_1.dll
2013-09-28 10:26 - 2013-04-17 12:34 - 01172480 _____ (Microsoft Corporation) D:\Windows\system32\d3d10warp.dll
2013-09-28 10:26 - 2013-04-17 12:33 - 00486400 _____ (Microsoft Corporation) D:\Windows\system32\d3d10level9.dll
2013-09-28 10:26 - 2013-04-17 12:14 - 00683008 _____ (Microsoft Corporation) D:\Windows\system32\d2d1.dll
2013-09-28 10:26 - 2013-04-17 12:10 - 01069056 _____ (Microsoft Corporation) D:\Windows\system32\DWrite.dll
2013-09-28 10:26 - 2013-04-17 12:10 - 00798208 _____ (Microsoft Corporation) D:\Windows\system32\FntCache.dll
2013-09-27 18:26 - 2013-09-27 18:26 - 00005234 _____ D:\ComboFix.txt
2013-09-27 18:16 - 2013-09-27 18:26 - 00000000 ____D D:\ComboFix
2013-09-27 18:12 - 2013-05-02 06:04 - 00443904 _____ (Microsoft Corporation) D:\Windows\system32\win32spl.dll
2013-09-27 18:12 - 2013-05-02 06:03 - 00037376 _____ (Microsoft Corporation) D:\Windows\system32\printcom.dll
2013-09-27 18:11 - 2013-04-24 03:46 - 00812544 _____ (Microsoft Corporation) D:\Windows\system32\certutil.exe
2013-09-27 18:10 - 2013-04-24 06:00 - 00041984 _____ (Microsoft Corporation) D:\Windows\system32\certenc.dll
2013-09-27 18:02 - 2013-09-27 18:02 - 05129766 ____R (Swearware) D:\Users\Thorsten\Desktop\ComboFix.exe
2013-09-26 18:59 - 2013-04-17 14:30 - 00024576 _____ (Microsoft Corporation) D:\Windows\system32\cryptdlg.dll
2013-09-26 18:57 - 2013-09-30 19:34 - 00622284 _____ D:\Windows\WindowsUpdate.log
2013-09-26 18:53 - 2013-09-28 10:10 - 00001098 _____ D:\Windows\PFRO.log
2013-09-26 18:40 - 2011-06-26 08:45 - 00256000 _____ D:\Windows\PEV.exe
2013-09-26 18:40 - 2010-11-07 19:20 - 00208896 _____ D:\Windows\MBR.exe
2013-09-26 18:40 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) D:\Windows\NIRCMD.exe
2013-09-26 18:40 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) D:\Windows\SWREG.exe
2013-09-26 18:40 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) D:\Windows\SWSC.exe
2013-09-26 18:40 - 2000-08-31 02:00 - 00098816 _____ D:\Windows\sed.exe
2013-09-26 18:40 - 2000-08-31 02:00 - 00080412 _____ D:\Windows\grep.exe
2013-09-26 18:40 - 2000-08-31 02:00 - 00068096 _____ D:\Windows\zip.exe
2013-09-26 18:39 - 2013-09-27 18:26 - 00000000 ____D D:\Qoobox
2013-09-26 18:39 - 2013-09-26 18:57 - 00000000 ____D D:\Windows\erdnt
2013-09-26 18:37 - 2013-10-02 18:36 - 00000645 _____ D:\Windows\setupact.log
2013-09-26 18:37 - 2013-09-26 18:37 - 00000000 _____ D:\Windows\setuperr.log
2013-09-25 19:32 - 2013-09-25 19:32 - 00000000 ____D D:\FRST
2013-09-23 22:00 - 2013-09-23 22:00 - 00041192 _____ D:\Users\Thorsten\Desktop\AVSCAN-20130923-180124-DFBF5415.LOG
2013-09-23 17:58 - 2013-10-02 21:17 - 00000884 _____ D:\Windows\Tasks\Adobe Flash Player Updater.job

==================== One Month Modified Files and Folders =======

2013-10-02 21:39 - 2013-10-02 21:39 - 00000876 _____ D:\Users\Thorsten\Desktop\checkup.txt
2013-10-02 21:25 - 2013-10-02 21:25 - 00000927 _____ D:\Users\Thorsten\Desktop\eset.txt
2013-10-02 21:17 - 2013-09-23 17:58 - 00000884 _____ D:\Windows\Tasks\Adobe Flash Player Updater.job
2013-10-02 20:28 - 2006-11-02 14:47 - 00004080 ____H D:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-02 20:28 - 2006-11-02 14:47 - 00004080 ____H D:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-02 19:01 - 2006-11-02 13:18 - 00000000 ____D D:\Windows\Microsoft.NET
2013-10-02 18:54 - 2006-11-02 13:18 - 00000000 ____D D:\Windows\rescache
2013-10-02 18:40 - 2006-11-02 12:33 - 01567692 _____ D:\Windows\system32\PerfStringBackup.INI
2013-10-02 18:39 - 2013-10-02 18:39 - 00000000 ____D D:\Program Files\ESET
2013-10-02 18:36 - 2013-10-02 18:36 - 00000000 ____H D:\Windows\system32\Drivers\Msft_User_WpdFs_01_07_00.Wdf
2013-10-02 18:36 - 2013-09-26 18:37 - 00000645 _____ D:\Windows\setupact.log
2013-10-02 18:36 - 2012-09-24 22:06 - 00000000 ____D D:\Program Files\Steam
2013-10-02 18:28 - 2012-03-13 19:06 - 00016608 _____ (Windows (R) 2000 DDK provider) D:\Windows\gdrv.sys
2013-10-02 18:27 - 2012-09-24 23:28 - 00000000 ____D D:\ProgramData\NVIDIA
2013-10-02 18:27 - 2006-11-02 15:01 - 00000006 ____H D:\Windows\Tasks\SA.DAT
2013-10-02 18:27 - 2006-11-02 14:47 - 00260160 _____ D:\Windows\system32\FNTCACHE.DAT
2013-10-02 18:25 - 2013-10-02 18:25 - 01087213 _____ (Farbar) D:\Users\Thorsten\Desktop\FRST.exe
2013-10-02 18:24 - 2013-10-02 18:24 - 00891144 _____ D:\Users\Thorsten\Desktop\SecurityCheck.exe
2013-10-02 18:23 - 2013-10-02 18:23 - 02347384 _____ (ESET) D:\Users\Thorsten\Desktop\esetsmartinstaller_enu.exe
2013-09-30 19:35 - 2006-11-02 15:01 - 00032598 _____ D:\Windows\Tasks\SCHEDLGU.TXT
2013-09-30 19:34 - 2013-09-26 18:57 - 00622284 _____ D:\Windows\WindowsUpdate.log
2013-09-30 19:34 - 2006-11-02 14:37 - 00000000 ____D D:\Windows\system32\XPSViewer
2013-09-30 19:34 - 2006-11-02 14:37 - 00000000 ____D D:\Program Files\Windows Journal
2013-09-30 19:34 - 2006-11-02 13:18 - 00000000 ____D D:\Windows\system32\de-DE
2013-09-30 19:30 - 2013-09-30 19:30 - 00000637 _____ D:\Users\Thorsten\Desktop\JRT.txt
2013-09-30 19:28 - 2013-09-30 19:28 - 00000000 ____D D:\Windows\ERUNT
2013-09-30 19:26 - 2013-09-30 19:26 - 00000682 _____ D:\Users\Thorsten\Desktop\AdwCleaner[R0].txt
2013-09-30 18:52 - 2013-09-30 18:52 - 00000000 ____D D:\AdwCleaner
2013-09-30 18:28 - 2013-09-30 18:24 - 00000000 ____D D:\Windows\system32\MRT
2013-09-30 18:20 - 2013-09-30 18:20 - 00000919 _____ D:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-09-30 18:20 - 2013-09-30 18:20 - 00000000 ____D D:\Users\Thorsten\AppData\Roaming\Malwarebytes
2013-09-30 18:20 - 2013-09-30 18:20 - 00000000 ____D D:\ProgramData\Malwarebytes
2013-09-30 18:20 - 2013-09-30 18:20 - 00000000 ____D D:\Program Files\Malwarebytes' Anti-Malware
2013-09-30 18:12 - 2013-09-30 18:12 - 01030305 _____ (Thisisu) D:\Users\Thorsten\Desktop\JRT.exe
2013-09-30 18:11 - 2013-09-30 18:11 - 01042066 _____ D:\Users\Thorsten\Desktop\adwcleaner.exe
2013-09-30 18:10 - 2013-09-30 18:10 - 10285040 _____ (Malwarebytes Corporation                                    ) D:\Users\Thorsten\Desktop\mbam-setup-1.75.0.1300.exe
2013-09-28 10:10 - 2013-09-26 18:53 - 00001098 _____ D:\Windows\PFRO.log
2013-09-27 18:26 - 2013-09-27 18:26 - 00005234 _____ D:\ComboFix.txt
2013-09-27 18:26 - 2013-09-27 18:16 - 00000000 ____D D:\ComboFix
2013-09-27 18:26 - 2013-09-26 18:39 - 00000000 ____D D:\Qoobox
2013-09-27 18:25 - 2006-11-02 12:23 - 00000215 _____ D:\Windows\system.ini
2013-09-27 18:02 - 2013-09-27 18:02 - 05129766 ____R (Swearware) D:\Users\Thorsten\Desktop\ComboFix.exe
2013-09-26 18:59 - 2006-11-02 13:18 - 00000000 ___RD D:\Users\Public
2013-09-26 18:57 - 2013-09-26 18:39 - 00000000 ____D D:\Windows\erdnt
2013-09-26 18:54 - 2013-07-11 01:14 - 00061056 _____ D:\Windows\system32\Drivers\c934d3de23958720.sys
2013-09-26 18:52 - 2006-11-02 12:22 - 44040192 _____ D:\Windows\system32\config\COMPON~1.bak
2013-09-26 18:52 - 2006-11-02 12:22 - 34865152 _____ D:\Windows\system32\config\SOFTWARE.bak
2013-09-26 18:52 - 2006-11-02 12:22 - 27787264 _____ D:\Windows\system32\config\SYSTEM.bak
2013-09-26 18:52 - 2006-11-02 12:22 - 00262144 _____ D:\Windows\system32\config\SECURITY.bak
2013-09-26 18:52 - 2006-11-02 12:22 - 00262144 _____ D:\Windows\system32\config\SAM.bak
2013-09-26 18:52 - 2006-11-02 12:22 - 00262144 _____ D:\Windows\system32\config\DEFAULT.bak
2013-09-26 18:37 - 2013-09-26 18:37 - 00000000 _____ D:\Windows\setuperr.log
2013-09-25 19:32 - 2013-09-25 19:32 - 00000000 ____D D:\FRST
2013-09-23 22:00 - 2013-09-23 22:00 - 00041192 _____ D:\Users\Thorsten\Desktop\AVSCAN-20130923-180124-DFBF5415.LOG
2013-09-23 17:58 - 2012-11-02 20:29 - 00692616 _____ (Adobe Systems Incorporated) D:\Windows\system32\FlashPlayerApp.exe
2013-09-23 17:58 - 2012-11-02 20:29 - 00071048 _____ (Adobe Systems Incorporated) D:\Windows\system32\FlashPlayerCPLApp.cpl

==================== Bamital & volsnap Check =================

D:\Windows\explorer.exe => MD5 is legit
D:\Windows\System32\winlogon.exe => MD5 is legit
D:\Windows\System32\wininit.exe => MD5 is legit
D:\Windows\System32\svchost.exe => MD5 is legit
D:\Windows\System32\services.exe => MD5 is legit
D:\Windows\System32\User32.dll => MD5 is legit
D:\Windows\System32\userinit.exe => MD5 is legit
D:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-10-02 18:32

==================== End Of Log ============================

--- --- ---

Was mir ein wenig Sorge macht sind die Funde unter C: -- das is die XP Partition

Höre gerne erstmal wie es dem Vista-Patienten nun geht...

Vielen Dank nochmal fürs Kümmern..

schrauber · 03.10.2013, 07:47

Das sind nur Temps oder bereits in Quarantäne von Combofix, kein Problem

.

Java und ADobe updaten.

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Fertig

Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Hier noch ein paar Tipps zur Absicherung deines Systems.

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
WinPatrol
Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

Opera
Mozilla Firefox.
- Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
- NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
- AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Thoshy · 04.10.2013, 17:42

Hi Schrauber ,

habe soweit alles durchgeführt...

Vista ist dann wohl wieder ok....Restrisiko bleibt ja immer

Schonmal recht herzlichen Dank für das Begleiten durch die Schritte und erstmal das Entwickeln des Ganzen.

Soll ich für das XP-OS auch wieder mit einem FRST + addition Scan beginnen ?

Das ist nämlich eigentlich mein Hauptgenutztes OS und da würde es mich weit weniger überraschen, wenn sich da was eingenistet hätte.

Gruß

Thorsten

24.09.2013, 19:26	#4
schrauber /// the machine /// TB-Ausbilder	Nach Telekom ABUSE Brief - PC mit DUAL OS unter Verdacht, Vista sehr auffällig nach genauerer Betrachtung Ich denke du kannst in das OS booten? dann scann enfach vom Desktop. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Nach Telekom ABUSE Brief - PC mit DUAL OS unter Verdacht, Vista sehr auffällig nach genauerer Betrachtung

Log-Analyse und Auswertung: Nach Telekom ABUSE Brief - PC mit DUAL OS unter Verdacht, Vista sehr auffällig nach genauerer Betrachtung