Guten Tag zusammen,

Vorab: Das betroffene Laptop wird gewerblich und überwiegend von meiner Frau privat in einem kleinen Netzwerk genutzt. Ich bin Inhaber der Firma und habe keinen EDV- / Netzwerk-Admin oder Dergleichen. Ich hoffe unter diesem Umstand trotzdem auf eure Unterstützung.

Beim Versuch Windows- und Microsoft Updates durchzuführen habe gestern ich festgestellt, dass die Updates nicht geladen werden und der Rechner mit hoher Belastung läuft. Im Taskmanager habe ich festgestellt, dass ein svchost Prozess schwankend zwischen 30 % und 55% der CPU Leistung beansprucht.

Ich habe im Netz dazu recherchiert und daraufhin Scans mit Spybot und dem installierten Virenprogramm Panda durchgeführt, ohne dass diese Scans etwas zu Tage gefördert haben.

In der Ereignisanzeige habe ich diverse Fehlermeldungen gefunden, die nach meiner Auffassung auf Probleme oder Fehler in der Netzwerkverbindung deuten können.

Bei heutiger Recherche im Netz habe ich den Hinweis auf einen Scan mit dem Prozess Analyzer gefunden und durchgeführt. Dieser hat zwei Auffälligkeiten gefunden, die über svchost.exe für die hohe Belastung verantwortlich seinen könnten. Um Näheres über die auffälligen Dienste zu erfahren habe ich entsprechend dem Hinweis vom ProzessAnalyzer das Laptop mit SecurityTaskManger überprüft ohne daraus neue Erkenntnisse zu gewinnen. Einen Dienst konnte ich identifizieren und wollte den Dienst von automatisch auf manuell oder deaktiviert umstellen. Das war nicht möglich. Es erschien die Meldung Zugriff verweigert.

Dann habe ich einen Scan mit HijackThis laufen lassen um den logfile hier zur Prüfung posten zu können. Der Anleitung habe ich entnommen, dass dieser log nicht aussagekräftig ist.

Im Anschluss habe ich wie in der Anleitung beschrieben deffogger, FRST und GMER drüberlaufen lassen. Bei GMER kam eine Fehlermeldung.

In dem archive.zip bei gefügt habe ich Screenshots der Dienste und vom Prozessanalyzer sowie die Logfiles von HJT, defogger, FRST und GMER.

Sämtliche Programme habe ich mit einem anderen Rechner heruntergeladen und mittels USB-Stick auf dem betroffenen Laptop installiert. Downloads sind nicht möglich. Auch die Aktualisierung von Panda Signaturdateien von Panda funktioniert nicht.

Ich hoffe, hier kann mir jemand helfen. Vielen Dank im Voraus.

Hallo,

ja da läuft Malware..
Lass uns zuerst noch schauen, was der TDSSKiller sieht:


Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Zunächst erst mal herzlichen Dank.

TDSS Killer hat offenbar etwas gefunden.

logfile von TDSSKiller anbei

Ok.


Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Vista und Win7 User mit Rechtsklick "als Administrator ausführen".

• Drücke auf Start Scan.
  Mache während des Scans nichts am Rechner!
• Gehe sicher, dass bei kkbzfwfa die Option Cure oder Delete (default) angehakt ist.
• Drücke Continue --> Reboot.
• TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
• Poste bitte den Inhalt dieses Logfiles in deinen Thread.

Alles erledigt.

Ich habe zwei neue Logfiles gefunden, die sind beigefügt.

Ok, dann bitte so weiter:


Schritt 1

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Combofix ist in der Installation stecken geblieben

siehe Screenshot

Dann schiess es ab, mach einen Neustart und dann MBAR:


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Ich kann nicht abschließen, die Button im Installations-shield funktionieren nicht. Ich kann das Programm im Taskmanager beenden.

Zitat:

Ich kann das Programm im Taskmanager beenden.

Ja, das meine ich. Danach neustarten.

Malwarebytes hat zwei Infekte gefunden.

hier die Logdatei

Der zweite Scan läuft gerade.

Kannst Du sagen was für Malware auf dem Laptop war, also in welcher Form Schaden angerichtet werden konnte?
Meine Frau betreibt u.a. das Onlinebanking von diesem Rechner.

Danke, Ulf

so beim zweiten Lauf hat Malwarebytes nichts mehr gefunden.

Hier das Logfile

War es das jetzt?
Nochmal die Frage, weißt Du ob ich mir wegen der Malware Sorgen machen muss und welche Schäden sie verursacht haben könnte?

Ulf

Hallo Ulf,

ich kann dir noch nicht genau sagen, was für Malware das war. Wir sollten noch weiter kontrollieren.


Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Leo,

hier der Inhalt aus dem Logfile:
FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 24-09-2013
Ran by gendrich (administrator) on AAGENAU-02 on 25-09-2013 19:50:13
Running from H:\
Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Panda Security, S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\TPSrv.exe
(Panda Security) C:\PROGRAMME\PANDA SECURITY\PANDA GLOBAL PROTECTION 2013\WebProxy.exe
(Apple Inc.) C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Programme\Bonjour\mDNSResponder.exe
(Broadcom Corporation.) C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
(Google Inc.) C:\Programme\Google\Update\GoogleUpdate.exe
(Oracle Corporation) C:\Programme\Java\jre7\bin\jqs.exe
(Hewlett-Packard Company) C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
(Microsoft Corporation) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
(Panda Security, S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\PsCtrls.exe
(Panda Security, S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\PavFnSvr.exe
(Panda Security, S.L.) C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe
(Panda Security International) c:\programme\panda security\panda global protection 2013\firewall\PSHOST.EXE
(Panda Security S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\PsImSvc.exe
(Panda Security, S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\PskSvc.exe
(Safer-Networking Ltd.) C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe
(Microsoft Corporation) C:\WINDOWS\system32\mqsvc.exe
(Panda Security, S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\pavsrvx86.exe
(Safer-Networking Ltd.) C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe
(Panda Security, S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\AVENGINE.EXE
(Hewlett-Packard Development Company, L.P.) C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
(Microsoft Corporation) C:\WINDOWS\system32\mqtgsvc.exe
(Hewlett-Packard Development Company, L.P.) C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
( Hewlett-Packard Development Company, L.P.) C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
(Apple Inc.) C:\Programme\iTunes\iTunesHelper.exe
() C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
(Apple Inc.) C:\Programme\iPod\bin\iPodService.exe
(Safer-Networking Ltd.) C:\Programme\Spybot - Search & Destroy 2\SDTray.exe
() C:\Programme\Allway Sync\Bin\syncappw.exe
(Microsoft Corporation) C:\WINDOWS\SYSTEM32\taskmgr.exe
(Panda Security, S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\ApVxdWin.exe
(Panda Security, S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\SRVLOAD.EXE
(Panda Security, S.L.) C:\Programme\Panda Security\Panda Global Protection 2013\PavBckPT.exe
(Microsoft Corporation) C:\WINDOWS\system32\mmc.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [hpWirelessAssistant] - C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe [454656 2006-02-14] (Hewlett-Packard Development Company, L.P.)
HKLM\...\Run: [QlbCtrl] - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
HKLM\...\Run: [Recguard] - C:\WINDOWS\Sminst\Recguard.exe [1187840 2005-12-20] ()
HKLM\...\Run: [APSDaemon] - C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe [59280 2012-11-28] (Apple Inc.)
HKLM\...\Run: [APVXDWIN] - C:\Programme\Panda Security\Panda Global Protection 2013\APVXDWIN.EXE [1037600 2012-11-27] (Panda Security, S.L.)
HKLM\...\Run: [SCANINICIO] - C:\Programme\Panda Security\Panda Global Protection 2013\Inicio.exe [70432 2012-11-08] (Panda Security, S.L.)
HKLM\...\Run: [iTunesHelper] - C:\Programme\iTunes\iTunesHelper.exe [152544 2012-12-12] (Apple Inc.)
HKLM\...\Run: [SDTray] - C:\Programme\Spybot - Search & Destroy 2\SDTray.exe [5624784 2013-07-25] (Safer-Networking Ltd.)
HKLM\...\Run: [Adobe ARM] - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-05-11] (Adobe Systems Incorporated)
HKLM\...\RunOnce: [ (A0)] - cmd /c "C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Desktop\mbar\mbar.exe" /rdv /s [1178424 2013-08-14] (Malwarebytes Corporation)
Winlogon\Notify\avldr: C:\Windows\SYSTEM32\avldr.dll (On-Access Anti-Malware Scanner Sync)
Winlogon\Notify\SDWinLogon: C:\Windows\SYSTEM32\sclgntfy.dll (Microsoft Corporation)
HKLM\...\Policies\Explorer: [NoWelcomeScreen] 1
HKLM\...\Policies\Explorer: [NoCDBurning] 0
HKCU\...\Run: [Allway Sync] - C:\Programme\Allway Sync\Bin\syncappw.exe [79576 2009-08-13] ()
MountPoints2: {b910cb1e-2470-11e0-982d-00170849b562} - J:\PMBP_Win.exe
HKU\admin\...\Run: [MSMSGS] - "C:\Programme\Messenger\msmsgs.exe" /background
HKU\Administrator\...\Run: [swg] - C:\Programme\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
HKU\administrator.AAGENAU\...\Run: [MSMSGS] - "C:\Programme\Messenger\msmsgs.exe" /background
HKU\Default User\...\Run: [MSMSGS] - "C:\Programme\Messenger\msmsgs.exe" /background
HKU\Gendrich\...\Run: [MSMSGS] - "C:\Programme\Messenger\msmsgs.exe" /background
HKU\Rubelt\...\Run: [MSMSGS] - "C:\Programme\Messenger\msmsgs.exe" /background
HKU\Rubelt.AAGENAU\...\Run: [Allway Sync] - C:\Programme\Allway Sync\Bin\syncappw.exe [ 2009-08-13] ()
Startup: C:\Dokumente und Einstellungen\Rubelt.AAGENAU\Startmenü\Programme\Autostart\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Anwendungsdaten\Dropbox\bin\Dropbox.exe (No File)
BootExecute: autocheck autochk * sdnclean.exe

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hp.com/
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM - Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab
DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Winsock: Catalog5 05 C:\Programme\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.199.254
Tcpip\..\Interfaces\{2301CC19-6299-4ED5-A9D2-BAC7DCCFCA83}: [NameServer]192.168.199.1,192.168.199.254

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Anwendungsdaten\Mozilla\Firefox\Profiles\j21cti5w.default
FF user.js: detected! => C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Anwendungsdaten\Mozilla\Firefox\Profiles\j21cti5w.default\user.js
FF SelectedSearchEngine: Google
FF Homepage: https://startpage.com/
FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_8_800_168.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @java.com/DTPlugin,version=10.40.2 - C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.40.2 - C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - c:\Programme\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: Yahoo! Toolbar - C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Anwendungsdaten\Mozilla\Firefox\Profiles\j21cti5w.default\Extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF Extension: No Name - C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

========================== Services (Whitelisted) =================

R2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [55184 2012-08-11] (Apple Inc.)
R2 Bonjour Service; C:\Programme\Bonjour\mDNSResponder.exe [390504 2011-08-31] (Apple Inc.)
R2 btwdins; C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe [258103 2006-02-15] (Broadcom Corporation.)
S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2010-10-20] (Google Inc.)
S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2010-10-20] (Google Inc.)
R2 hpqwmiex; C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe [98304 2006-01-12] (Hewlett-Packard Development Company, L.P.)
S3 IDriverT; c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [73728 2004-10-22] (Macrovision Corporation)
R3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [553440 2012-12-12] (Apple Inc.)
R2 LightScribeService; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [49152 2006-06-20] (Hewlett-Packard Company)
R2 MDM; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [322120 2003-06-20] (Microsoft Corporation)
S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [117656 2013-09-04] (Mozilla Foundation)
R2 MSMQ; C:\WINDOWS\system32\mqsvc.exe [4608 2008-04-14] (Microsoft Corporation)
R2 MSMQTriggers; C:\WINDOWS\system32\mqtgsvc.exe [117248 2008-04-14] (Microsoft Corporation)
S3 NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [208896 2006-06-22] (Nero AG)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [89136 2003-07-28] (Microsoft Corporation)
R2 Panda Software Controller; C:\Programme\Panda Security\Panda Global Protection 2013\PsCtrls.exe [177440 2012-11-19] (Panda Security, S.L.)
R2 PAVFNSVR; C:\Programme\Panda Security\Panda Global Protection 2013\PavFnSvr.exe [202016 2012-09-21] (Panda Security, S.L.)
R2 PavPrSrv; C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe [62768 2008-02-04] (Panda Security, S.L.)
R2 PAVSRV; C:\Programme\Panda Security\Panda Global Protection 2013\pavsrvx86.exe [313664 2011-04-13] (Panda Security, S.L.)
S2 PCA; C:\WINDOWS\SMINST\PCAngel.exe [294912 2006-01-12] (SoftThinks)
R2 PSHost; c:\programme\panda security\panda global protection 2013\firewall\PSHOST.EXE [226560 2009-11-26] (Panda Security International)
R2 PSIMSVC; C:\Programme\Panda Security\Panda Global Protection 2013\PsImSvc.exe [108288 2008-06-19] (Panda Security S.L.)
R2 PskSvcRetail; C:\Programme\Panda Security\Panda Global Protection 2013\PskSvc.exe [28992 2010-08-16] (Panda Security, S.L.)
R2 SDScannerService; C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe [1817560 2013-05-16] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe [1033688 2013-05-16] (Safer-Networking Ltd.)
S2 SDWSCService; C:\Programme\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928 2013-05-15] (Safer-Networking Ltd.)
R2 TPSrv; C:\Programme\Panda Security\Panda Global Protection 2013\TPSrv.exe [156960 2012-11-16] (Panda Security, S.L.)
S3 WmcCds; c:\programme\windows media connect\mswmccds.exe [483328 2004-08-11] (Microsoft Corporation)
S3 WmcCdsLs; C:\Programme\Windows Media Connect\mswmcls.exe [28160 2004-08-10] (Microsoft Corporation)
S2 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation)
S3 ACDaemon; C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe [x]
R2 JavaQuickStarterService; "C:\Programme\Java\jre7\bin\jqs.exe" -service -config "C:\Programme\Java\jre7\lib\deploy\jqs\jqs.conf"

==================== Drivers (Whitelisted) ====================

R3 AEAudioService; C:\Windows\System32\drivers\AEAudio.sys [152960 2005-06-07] (Andrea Electronics Corporation)
R2 AmFSM; C:\Windows\System32\DRIVERS\amm8651.sys [63240 2012-03-26] (Panda Security, S.L.)
R1 APPFLT; C:\WINDOWS\system32\Drivers\APPFLT.SYS [83528 2011-01-31] (Panda Security, S.L.)
R3 btaudio; C:\Windows\System32\drivers\btaudio.sys [401664 2006-02-15] (Broadcom Corporation.)
R3 BTDriver; C:\Windows\System32\DRIVERS\btport.sys [30363 2006-02-15] (Broadcom Corporation.)
R3 BTKRNL; C:\Windows\System32\DRIVERS\btkrnl.sys [1342570 2006-02-15] (Broadcom Corporation.)
S3 BTWDNDIS; C:\Windows\System32\DRIVERS\btwdndis.sys [148168 2006-02-15] (Broadcom Corporation.)
R3 BTWUSB; C:\Windows\System32\Drivers\btwusb.sys [57096 2006-02-15] (Broadcom Corporation.)
R3 ComFiltr; C:\WINDOWS\system32\DRIVERS\COMFiltr.sys [13880 2013-09-25] ()
R1 DSAFLT; C:\WINDOWS\system32\Drivers\DSAFLT.SYS [53256 2009-09-25] (Panda Security, S.L.)
R1 eabfiltr; C:\Windows\System32\DRIVERS\eabfiltr.sys [7808 2005-09-19] (Hewlett-Packard Development Company, L.P.)
S3 eabusb; C:\Windows\System32\DRIVERS\eabusb.sys [5760 2005-09-19] (Hewlett-Packard Development Company, L.P.)
R1 FNETMON; C:\WINDOWS\system32\Drivers\fnetmon.SYS [22024 2009-09-25] (Panda Security, S.L.)
R3 ialm; C:\Windows\System32\DRIVERS\ialmnt5.sys [1168860 2006-06-06] (Intel Corporation)
R1 IDSFLT; C:\WINDOWS\system32\Drivers\IDSFLT.SYS [193864 2010-09-09] (Panda Security, S.L.)
R3 mbamchameleon; C:\WINDOWS\system32\drivers\mbamchameleon.sys [48728 2013-09-25] (MalwareBytes)
R3 MQAC; C:\WINDOWS\system32\drivers\mqac.sys [92544 2008-04-13] (Microsoft Corporation)
R1 NETFLTDI; C:\WINDOWS\system32\Drivers\NETFLTDI.SYS [159112 2009-09-25] (Panda Security, S.L.)
R3 NETIMFLT01060044; C:\Windows\System32\DRIVERS\neti1644.sys [201032 2010-09-01] (Panda Security, S.L.)
R2 NwlnkIpx; C:\Windows\System32\DRIVERS\nwlnkipx.sys [88320 2008-04-13] (Microsoft Corporation)
R2 NwlnkNb; C:\Windows\System32\DRIVERS\nwlnknb.sys [63232 2004-08-04] (Microsoft Corporation)
R2 NwlnkSpx; C:\Windows\System32\DRIVERS\nwlnkspx.sys [55936 2004-08-04] (Microsoft Corporation)
R0 pavboot; C:\Windows\System32\Drivers\pavboot.sys [26696 2010-06-22] (Panda Security, S.L.)
R2 PavProc; C:\WINDOWS\system32\DRIVERS\PavProc.sys [164488 2012-05-08] (Panda Security, S.L.)
S3 Rasirda; C:\Windows\System32\DRIVERS\rasirda.sys [19584 2001-08-17] (Microsoft Corporation)
R1 ShldDrv; C:\Windows\System32\DRIVERS\ShlDrv51.sys [37448 2011-02-21] (Panda Security, S.L.)
S3 SMCIRDA; C:\Windows\System32\DRIVERS\smcirda.sys [35913 2001-08-18] (SMC)
S3 SONYPVU1; C:\Windows\System32\DRIVERS\SONYPVU1.SYS [7552 2001-08-17] (Sony Corporation)
S3 tap0801; C:\Windows\System32\DRIVERS\tap0801.sys [26624 2006-11-01] (The OpenVPN Project)
R3 w39n51; C:\Windows\System32\DRIVERS\w39n51.sys [1428096 2006-01-19] (Intel® Corporation)
S1 wceusbsh; C:\Windows\System32\DRIVERS\wceusbsh.sys [32000 2008-04-14] (Microsoft Corporation)
R1 WNMFLT; C:\WINDOWS\system32\Drivers\WNMFLT.SYS [46856 2009-09-25] (Panda Security, S.L.)
R3 AvFlt; \SystemRoot\system32\drivers\av5flt.sys [x]
R3 PavSRK.sys; \??\C:\WINDOWS\system32\PavSRK.sys [x]
R3 PavTPK.sys; \??\C:\WINDOWS\system32\PavTPK.sys [x]
U5 ScsiPort; C:\Windows\system32\drivers\scsiport.sys [96384 2008-04-13] (Microsoft Corporation)
U5 Sdbus; C:\Windows\System32\Drivers\Sdbus.sys [79232 2008-04-13] (Microsoft Corporation)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-09-25 18:25 - 2013-09-25 18:25 - 00048728 _____ (MalwareBytes) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2013-09-25 17:47 - 2013-09-25 18:55 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes' Anti-Malware (portable)
2013-09-25 17:47 - 2013-09-25 17:47 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-09-25 17:44 - 2013-09-25 18:55 - 00000000 ____D C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Desktop\mbar
2013-09-25 16:51 - 2013-09-25 16:51 - 00000000 ____D C:\ComboFix
2013-09-25 16:47 - 2013-09-25 16:51 - 00000000 ____D C:\Qoobox
2013-09-25 16:47 - 2013-09-25 16:47 - 00000000 ___RD C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Startmenü\Programme\Verwaltung
2013-09-25 16:46 - 2013-09-25 16:51 - 00000000 ___SD C:\32788R22FWJFW
2013-09-25 16:46 - 2013-09-25 16:46 - 00000000 ____D C:\WINDOWS\erdnt
2013-09-25 16:21 - 2013-09-25 18:21 - 00114688 _____ (SoftThinks) C:\WINDOWS\system32\chg.exe
2013-09-25 16:19 - 2013-09-25 16:19 - 00000000 ____D C:\TDSSKiller_Quarantine
2013-09-25 15:23 - 2013-09-25 15:23 - 00000000 ____D C:\Programme\7-Zip
2013-09-25 15:23 - 2013-09-25 15:23 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
2013-09-25 15:18 - 2013-09-25 15:18 - 00001039 _____ C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Desktop\Continue Zip Extractor Installation.lnk
2013-09-25 13:02 - 2013-09-25 13:02 - 00000000 ____D C:\FRST
2013-09-25 13:00 - 2013-09-25 13:00 - 00000000 _____ C:\Dokumente und Einstellungen\Gendrich.AAGENAU\defogger_reenable
2013-09-25 11:06 - 2013-09-25 11:06 - 00264616 _____ (Oracle Corporation) C:\WINDOWS\system32\javaws.exe
2013-09-25 11:06 - 2013-09-25 11:06 - 00175016 _____ (Oracle Corporation) C:\WINDOWS\system32\javaw.exe
2013-09-25 11:06 - 2013-09-25 11:06 - 00175016 _____ (Oracle Corporation) C:\WINDOWS\system32\java.exe
2013-09-25 11:06 - 2013-09-25 11:06 - 00094632 _____ (Oracle Corporation) C:\WINDOWS\system32\WindowsAccessBridge.dll
2013-09-25 11:06 - 2013-09-25 11:06 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Java
2013-09-25 10:40 - 2013-09-25 10:43 - 00002347 _____ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk
2013-09-25 10:40 - 2013-09-25 10:40 - 00001714 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
2013-09-24 12:20 - 2010-11-17 19:15 - 00000887 _____ C:\WINDOWS\system32\Drivers\etc\hosts.20130924-122017.backup
2013-09-24 12:09 - 2013-09-25 18:23 - 00000636 _____ C:\WINDOWS\Tasks\Check for updates (Spybot - Search & Destroy).job
2013-09-24 12:09 - 2013-09-25 18:19 - 00065536 _____ C:\WINDOWS\system32\config\SpybotSD.evt
2013-09-24 12:09 - 2013-09-24 12:09 - 00001806 _____ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot-S&D Start Center.lnk
2013-09-24 12:09 - 2013-09-24 12:09 - 00001800 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
2013-09-24 12:09 - 2013-09-24 12:09 - 00000608 _____ C:\WINDOWS\Tasks\Refresh immunization (Spybot - Search & Destroy).job
2013-09-24 12:09 - 2013-09-24 12:09 - 00000438 _____ C:\WINDOWS\Tasks\Scan the system (Spybot - Search & Destroy).job
2013-09-24 12:09 - 2013-09-24 12:09 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy 2
2013-09-24 12:09 - 2009-01-25 13:14 - 00015224 _____ (Safer Networking Limited) C:\WINDOWS\system32\sdnclean.exe
2013-09-24 12:08 - 2013-09-24 12:09 - 00000000 ____D C:\Programme\Spybot - Search & Destroy 2
2013-09-24 11:08 - 2013-09-24 11:08 - 00000000 ____D C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Lokale Einstellungen\Anwendungsdaten\Sun
2013-09-04 21:25 - 2013-09-10 20:30 - 00000000 ____D C:\Programme\Mozilla Firefox

==================== One Month Modified Files and Folders =======

2013-09-25 19:50 - 2007-03-13 11:40 - 01476007 _____ C:\WINDOWS\pfirewall.log
2013-09-25 19:48 - 2004-08-07 08:08 - 01052828 _____ C:\WINDOWS\WindowsUpdate.log
2013-09-25 19:38 - 2012-12-17 19:28 - 00000884 _____ C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2013-09-25 19:38 - 2007-03-26 13:17 - 00000128 _____ C:\WINDOWS\system32\config\netlogon.ftl
2013-09-25 18:55 - 2013-09-25 17:47 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes' Anti-Malware (portable)
2013-09-25 18:55 - 2013-09-25 17:44 - 00000000 ____D C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Desktop\mbar
2013-09-25 18:54 - 2010-10-20 22:37 - 00001090 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
2013-09-25 18:25 - 2013-09-25 18:25 - 00048728 _____ (MalwareBytes) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2013-09-25 18:25 - 2013-01-08 20:31 - 00000080 _____ C:\WINDOWS\system32\Drivers\etc\NetLoc.wlt.bck
2013-09-25 18:25 - 2013-01-08 20:31 - 00000080 _____ C:\WINDOWS\system32\Drivers\etc\NetLoc.wlt
2013-09-25 18:25 - 2013-01-08 20:31 - 00000056 _____ C:\WINDOWS\system32\Drivers\etc\WnmFlt.cfg.bck
2013-09-25 18:25 - 2013-01-08 20:31 - 00000056 _____ C:\WINDOWS\system32\Drivers\etc\WnmFlt.cfg
2013-09-25 18:25 - 2013-01-08 20:31 - 00000056 _____ C:\WINDOWS\system32\Drivers\etc\DsaFlt.cfg.bck
2013-09-25 18:25 - 2013-01-08 20:31 - 00000056 _____ C:\WINDOWS\system32\Drivers\etc\DsaFlt.cfg
2013-09-25 18:25 - 2013-01-08 20:30 - 00000252 _____ C:\WINDOWS\system32\Drivers\etc\IdsFlt.cfg.bck
2013-09-25 18:25 - 2013-01-08 20:30 - 00000252 _____ C:\WINDOWS\system32\Drivers\etc\IdsFlt.cfg
2013-09-25 18:25 - 2013-01-08 20:29 - 00000068 _____ C:\WINDOWS\system32\Drivers\etc\NetFlt.cfg.bck
2013-09-25 18:25 - 2013-01-08 20:29 - 00000068 _____ C:\WINDOWS\system32\Drivers\etc\NetFlt.cfg
2013-09-25 18:25 - 2013-01-08 20:23 - 00013880 _____ C:\WINDOWS\system32\Drivers\COMFiltr.sys
2013-09-25 18:25 - 2013-01-08 20:20 - 00001132 _____ C:\WINDOWS\system32\Drivers\APPFLTR.CFG.bck
2013-09-25 18:25 - 2013-01-08 20:20 - 00001132 _____ C:\WINDOWS\system32\Drivers\APPFLTR.CFG
2013-09-25 18:23 - 2013-09-24 12:09 - 00000636 _____ C:\WINDOWS\Tasks\Check for updates (Spybot - Search & Destroy).job
2013-09-25 18:22 - 2011-10-05 15:35 - 00001086 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore1cc83639a374f3e.job
2013-09-25 18:22 - 2004-08-07 08:08 - 00032492 _____ C:\WINDOWS\SchedLgU.Txt
2013-09-25 18:22 - 2004-08-07 08:08 - 00001158 _____ C:\WINDOWS\system32\wpa.dbl
2013-09-25 18:21 - 2013-09-25 16:21 - 00114688 _____ (SoftThinks) C:\WINDOWS\system32\chg.exe
2013-09-25 18:21 - 2013-01-08 20:29 - 00000064 _____ C:\WINDOWS\system32\Drivers\etc\NetAR.wlt.bck
2013-09-25 18:21 - 2013-01-08 20:29 - 00000064 _____ C:\WINDOWS\system32\Drivers\etc\NetAR.wlt
2013-09-25 18:21 - 2013-01-08 20:28 - 00000104 _____ C:\WINDOWS\system32\Drivers\etc\NetAdapt.cfg.bck
2013-09-25 18:21 - 2013-01-08 20:28 - 00000104 _____ C:\WINDOWS\system32\Drivers\etc\NetAdapt.cfg
2013-09-25 18:21 - 2004-08-07 08:47 - 00000157 _____ C:\WINDOWS\wiadebug.log
2013-09-25 18:21 - 2004-08-07 08:47 - 00000050 _____ C:\WINDOWS\wiaservc.log
2013-09-25 18:21 - 2004-08-07 08:08 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-09-25 18:19 - 2013-09-24 12:09 - 00065536 _____ C:\WINDOWS\system32\config\SpybotSD.evt
2013-09-25 18:19 - 2007-03-26 13:43 - 00000300 ___SH C:\Dokumente und Einstellungen\Gendrich.AAGENAU\ntuser.ini
2013-09-25 17:47 - 2013-09-25 17:47 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-09-25 16:51 - 2013-09-25 16:51 - 00000000 ____D C:\ComboFix
2013-09-25 16:51 - 2013-09-25 16:47 - 00000000 ____D C:\Qoobox
2013-09-25 16:51 - 2013-09-25 16:46 - 00000000 ___SD C:\32788R22FWJFW
2013-09-25 16:47 - 2013-09-25 16:47 - 00000000 ___RD C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Startmenü\Programme\Verwaltung
2013-09-25 16:47 - 2007-03-26 13:43 - 00000000 ___RD C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Startmenü\Programme
2013-09-25 16:46 - 2013-09-25 16:46 - 00000000 ____D C:\WINDOWS\erdnt
2013-09-25 16:19 - 2013-09-25 16:19 - 00000000 ____D C:\TDSSKiller_Quarantine
2013-09-25 15:23 - 2013-09-25 15:23 - 00000000 ____D C:\Programme\7-Zip
2013-09-25 15:23 - 2013-09-25 15:23 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
2013-09-25 15:23 - 2007-01-17 23:59 - 00000000 ___RD C:\Programme
2013-09-25 15:23 - 2007-01-17 23:59 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users\Startmenü\Programme
2013-09-25 15:18 - 2013-09-25 15:18 - 00001039 _____ C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Desktop\Continue Zip Extractor Installation.lnk
2013-09-25 13:02 - 2013-09-25 13:02 - 00000000 ____D C:\FRST
2013-09-25 13:00 - 2013-09-25 13:00 - 00000000 _____ C:\Dokumente und Einstellungen\Gendrich.AAGENAU\defogger_reenable
2013-09-25 13:00 - 2007-03-26 13:43 - 00000000 ___HD C:\Dokumente und Einstellungen\Gendrich.AAGENAU
2013-09-25 11:39 - 2009-01-16 01:17 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2013-09-25 11:20 - 2009-01-16 01:17 - 00000000 ____D C:\Programme\Security Task Manager
2013-09-25 11:12 - 2009-01-15 19:42 - 00502548 _____ C:\WINDOWS\setupapi.log
2013-09-25 11:06 - 2013-09-25 11:06 - 00264616 _____ (Oracle Corporation) C:\WINDOWS\system32\javaws.exe
2013-09-25 11:06 - 2013-09-25 11:06 - 00175016 _____ (Oracle Corporation) C:\WINDOWS\system32\javaw.exe
2013-09-25 11:06 - 2013-09-25 11:06 - 00175016 _____ (Oracle Corporation) C:\WINDOWS\system32\java.exe
2013-09-25 11:06 - 2013-09-25 11:06 - 00094632 _____ (Oracle Corporation) C:\WINDOWS\system32\WindowsAccessBridge.dll
2013-09-25 11:06 - 2013-09-25 11:06 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Java
2013-09-25 11:06 - 2013-04-19 21:46 - 00868264 _____ (Oracle Corporation) C:\WINDOWS\system32\npDeployJava1.dll
2013-09-25 11:06 - 2010-05-06 12:09 - 00790440 _____ (Oracle Corporation) C:\WINDOWS\system32\deployJava1.dll
2013-09-25 11:06 - 2007-04-13 00:26 - 00144896 _____ (Oracle Corporation) C:\WINDOWS\system32\javacpl.cpl
2013-09-25 11:06 - 2007-01-17 23:59 - 00000000 ____D C:\Programme\Gemeinsame Dateien\Java
2013-09-25 11:05 - 2007-01-17 23:59 - 00000000 ____D C:\Programme\Java
2013-09-25 11:04 - 2004-08-07 08:04 - 01116170 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2013-09-25 10:43 - 2013-09-25 10:40 - 00002347 _____ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk
2013-09-25 10:42 - 2007-02-18 22:49 - 00000000 ____D C:\Programme\Gemeinsame Dateien\Adobe
2013-09-25 10:40 - 2013-09-25 10:40 - 00001714 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
2013-09-25 10:38 - 2009-10-24 18:17 - 00000000 ____D C:\Programme\Adobe
2013-09-25 10:38 - 2007-02-18 22:49 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2013-09-25 10:37 - 2007-03-26 15:59 - 00000000 ____D C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Lokale Einstellungen\Anwendungsdaten\Adobe
2013-09-24 16:02 - 2010-08-05 15:44 - 00000000 ____D C:\Programme\Spybot - Search & Destroy
2013-09-24 16:01 - 2007-03-13 11:40 - 04077824 _____ C:\WINDOWS\pfirewall.log.old
2013-09-24 16:01 - 2007-01-18 00:00 - 00000000 ____D C:\WINDOWS\security
2013-09-24 13:53 - 2007-01-19 21:57 - 30491648 _____ C:\Dokumente und Einstellungen\Rubelt\Eigene Dateien\2006-01-18 Posteingang.pst
2013-09-24 12:51 - 2007-03-26 12:52 - 75187200 _____ C:\rubelt.pst
2013-09-24 12:14 - 2010-08-05 15:44 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2013-09-24 12:09 - 2013-09-24 12:09 - 00001806 _____ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot-S&D Start Center.lnk
2013-09-24 12:09 - 2013-09-24 12:09 - 00001800 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
2013-09-24 12:09 - 2013-09-24 12:09 - 00000608 _____ C:\WINDOWS\Tasks\Refresh immunization (Spybot - Search & Destroy).job
2013-09-24 12:09 - 2013-09-24 12:09 - 00000438 _____ C:\WINDOWS\Tasks\Scan the system (Spybot - Search & Destroy).job
2013-09-24 12:09 - 2013-09-24 12:09 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy 2
2013-09-24 12:09 - 2013-09-24 12:08 - 00000000 ____D C:\Programme\Spybot - Search & Destroy 2
2013-09-24 12:00 - 2007-01-18 00:00 - 00000000 ____D C:\WINDOWS\Registration
2013-09-24 11:08 - 2013-09-24 11:08 - 00000000 ____D C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Lokale Einstellungen\Anwendungsdaten\Sun
2013-09-18 23:12 - 2007-03-26 13:35 - 00000300 ___SH C:\Dokumente und Einstellungen\Rubelt.AAGENAU\ntuser.ini
2013-09-18 20:38 - 2012-12-17 19:28 - 00692616 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2013-09-18 20:38 - 2011-08-09 09:15 - 00071048 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2013-09-18 19:42 - 2008-01-02 11:20 - 00008627 _____ C:\WINDOWS\system32\PAV_FOG.OPC
2013-09-18 19:39 - 2012-06-10 15:10 - 00000000 ___RD C:\Dokumente und Einstellungen\Rubelt.AAGENAU\Eigene Dateien\Dropbox
2013-09-18 19:39 - 2012-06-10 15:06 - 00000000 ____D C:\Dokumente und Einstellungen\Rubelt.AAGENAU\Anwendungsdaten\Dropbox
2013-09-18 19:36 - 2012-06-18 22:13 - 00000000 ____D C:\Programme\Mozilla Maintenance Service
2013-09-10 20:30 - 2013-09-04 21:25 - 00000000 ____D C:\Programme\Mozilla Firefox

Some content of TEMP:
====================
C:\Dokumente und Einstellungen\administrator.AAGENAU\Lokale Einstellungen\Temp\applnch.exe
C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Lokale Einstellungen\Temp\ICReinstall_ZipExtractorSetup.exe
C:\Dokumente und Einstellungen\Gendrich.AAGENAU\Lokale Einstellungen\Temp\jre-7u40-windows-i586-iftw.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2004-08-04 10:00] - [2008-04-14 04:22] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 

C:\Windows\System32\winlogon.exe
[2004-08-04 10:00] - [2008-04-14 04:23] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 

C:\Windows\System32\svchost.exe
[2004-08-04 10:00] - [2008-04-14 04:23] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 

C:\Windows\System32\services.exe
[2004-08-04 10:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 

C:\Windows\System32\User32.dll
[2004-08-04 10:00] - [2008-04-14 04:22] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 

C:\Windows\System32\userinit.exe
[2004-08-04 10:00] - [2008-04-14 04:23] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 

C:\Windows\System32\Drivers\volsnap.sys
[2004-08-04 10:00] - [2008-04-14 03:52] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 


==================== End Of Log ============================
         

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---


Ich muss für heute leider Schluss machen und hoffe es ist okay, wenn wir Morgen weitermachen?

Ulf

Guten Tag Leo,

ich bin wieder am Rechner und kann hier bis ca. 16.15 Uhr bleiben. Dann muss ich zu einem Termin.

Ich habe das Laptop gestartet: ohne Probleme

Die Serverlaufwerke sind erreichbar, die Internetverbindung funktioniert.
Dann habe ich probiert, ob Downloads vollständig funktionieren: Keine Probleme

Die Aktualisierung der Virensignatur von Panda Global Protection funktioniert auch wieder

Soweit hast offensichtlich eine Menge erreicht! Danke.

Anschließend habe ich probiert, ob das Windows-Update jetzt funktioniert: Leider Fehlanzeige.
Der Internet Explorer öffnet sich, es wird überprüft, ob die neueste Software für die Updates installiert ist. Auch noch ok. Nach dem Anklicken des Buttons "Schnellsuche" erscheint der Hinweis "Die neuesten für Ihren Computer Updates werden gesucht" der Balken mit dem grünen Lauf erscheint danach passiert nichts mehr.

Im Taskmanager finde ich 6 svchost.exe Prozesse von denen einer sporadisch die CPU bis zu 51% auslastet.

In der System Ereignisanzeige finde ich wieder diverse Fehler:
Der Reihe nach die neueste Meldung zuerst:

W32Time, Fehler
Eigenschaften:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 59 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

W32Time, Warnung:
Eigenschaften:
Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 60 Minuten wiederholt.

Dnsapi, Warnung
Eigenschaften:
Die Ressourceneinträge für Host (A) konnten für den Netzwerkadapter
mit folgenden Einstellungen nicht registriert werden:

Adaptername : {2518234F-DA30-4305-9B25-B430A27642A0}
Hostname : Aagenau-02
Primäres Domänensuffix : aagenau.local
DNS-Serverliste :
192.168.199.254
Server, an den das Update gesendet wurde : <?>
IP-Adresse(n) :
192.168.199.108

Diese Ressourceneinträge konnten nicht registriert werden, weil der DNS-Server die Updateanforderung verweigert hat. Mögliche Ursachen sind: (a) Sie sind nicht dazu berechtigt den adapterspezifischen DNS-Domänenname zu aktualisieren. (b) Der autorisierende DNS-Server unterstützt das Protokoll für das dynamische DNS-Update nicht.

Wenden Sie sich an den DNS-Server- oder Netzwerksystemadministrator, um die Ressourceneinträge für den DNS-Host (A) mit dem spezifischen DNS-Domänennamen und IP-Adressen für diesen Adapter zu registrieren.

W32Time, Fehler:
Fehlereigenschaften:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 30 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

W32Time, Warnung
Eigenschaften:
Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 30 Minuten wiederholt.

Windows Update Agent, Fehler
Fehlereigenschaften:
Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht, eine Verbindung herzustellen.

W32Time, Fehler
Eigenschaften:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

W32Time, Fehler
Eigenschaften
Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 15 Minuten wiederholt.

Netlogon, Fehler
Eigenschaften:
Es steht kein Domänencontroller für die Domäne AAGENAU aus folgendem Grund zur Verfügung:
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. .
Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist, und versuchen Sie es erneut. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.


W32Time, Fehler
Eigenschaften:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

W32Time, Warnung
Eigenschaften:
Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 15 Minuten wiederholt.

MrxSmb, Fehler
Eigenschaften:
Der Suchdiensttreiber erhielt zu viele nicht erlaubte Datagramme vom Remotecomputer "SPEEDPORT.IP" zum Namen "AAGENAU-02" auf Transport "NetBT_Tcpip_{2518". Das Datagramm steht in den Daten. Es werden keine weiteren Ereignisse erzeugt, solange die Rücksetzfrequenz nicht abgelaufen ist.


5 mal MrxSmb Warnung
Eigenschaften:
Der Browser erhielt ein nicht zugelassenes Datagramm vom Remotecomputer "SPEEDPORT.IP" zum Namen "AAGENAU-02" auf dem Transport "NetBT_Tcpip_{2518". Daten: Datagramm.

Service Control Manager, Fehler
Eigenschaften:
Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst "Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Service Control Manager, Fehler
Eigenschaften:
Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

Service Control Manager, Fehler
Eigenschaften:
Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D 2 Security Center Service.

Server, Warnung
Eigenschaften:
Der Serverdienst konnte die Freigabe support nicht wiederherstellen, da das Verzeichnis C:\Programme\OpenVPN\support nicht mehr vorhanden ist. Führen Sie den Befehl "net share support /delete" aus, um die Freigabe zu löschen oder um das Verzeichnis C:\Programme\OpenVPN\support zu erstellen.

Hallo Ulf,

die grössten Probleme scheinen ja schon mal beseitigt zu sein. Wir kontrollieren noch weiter.


Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

Folder: C:\TDSSKiller_Quarantine
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.