Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.10.2013, 13:47   #16
308
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Das ging schnell.

Hier der Fixlog:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 02-10-2013
Ran by Toshiba at 2013-10-08 14:46:48 Run:1
Running from C:\Users\Toshiba\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\staxnet.vbe

*****************

C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\staxnet.vbe => Moved successfully.

==== End of Fixlog ====
         

Alt 08.10.2013, 13:59   #17
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________

__________________

Alt 08.10.2013, 14:08   #18
308
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Also zunächst Mal TAUSEND Dank. Das war mittlerweile richtig lästig. Wird der Post jetzt geschlossen? Ich lasse heute Nachmittag nochmal alle Scans laufen, wenn die was finden, poste ich das hier nochmal wenn es in Ordnung ist. Ich werde mir MVPS Hosts File runterladen.

Das System ist soweit in Ordnung, es hatte auch mit diesem Safa7-Mist ganz gut funktioniert, aber irgendwie war mit dabei unwohl.

Nur nochmal die Sache, die ich schon Mal angesprochen habe:
Kann ich USB Stick´s etc. die mit dem Virus befallen waren irgendwie reinigen? Oder hilft nur noch die reinigende Mülltonne?
__________________

Alt 08.10.2013, 14:14   #19
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Automatische Wiedergabe (Autorun) deaktivieren

Lesestoff:
Aufgabe von Autorun

Die Hauptaufgabe von Autorun besteht darin, auf Hardwareaktionen, die auf einem Computer gestartet werden, softwareseitig zu reagieren. Autorun bietet die folgenden Funktionen:
  • Doppelklicken
  • Kontextmenü
  • Automatische Wiedergabe

Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen. Während der automatischen Wiedergabe wird die Datei "Autorun.inf" auf dem Medium analysiert. Diese Datei legt fest, welche Befehle vom System ausgeführt werden. Viele Firmen nutzen diese Funktionalität zum Starten von Installationsprogrammen.

Das Problem bzw. das Sicherheitsrisiko besteht darin, dass die Autorun-Funktion missbraucht werden kann, um automatisch zB auf infizierten USB-Sticks eine Schädlingsdatei (die in der autorun.inf definiert ist) auszuführen. Ich empfehle dir daher dringend, Autorun komplett zu deaktivieren.



Windows XP: Zur Vereinfachung hab ich die Datei noautorun.reg hochgeladen. Lade sie bitte auf den Desktop herunter, führ die Datei per Doppelklick aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.


Falls die o.g. Datei noautorun.reg nicht herunterladbar sein sollte, hier der Inhalt der noautorun.reg; einfach in eine Textdatei kopieren und diese als noautorun.reg Datei abspeichern und per Doppelklick ausführen um es in die Registry zu schreiben:
Code:
ATTFilter
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
         

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.10.2013, 14:30   #20
308
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Alles klar, die Autorun ist deaktiviert. Kann ich nun die Sachen an den PC anschließen und einen Scanner drüberlaufen lassen?


Alt 08.10.2013, 14:46   #21
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Ja mach es
__________________
--> Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32

Alt 08.10.2013, 22:22   #22
308
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Guten Abend Cosinus!

Ich habe heute nochmal einen Avira-Komplettscan gemacht. Ich glaube, die Safa-Datei wurde nochmal entdeckt. Ich poste mal den Bericht, wenn das in Ordnung ist? Also nur den einen Ausschnitt davon, der ganze Bericht ist viel zu lang, den kann ich nicht posten. Ich habe die Datei in die Quarantäne verschieben lassen und nicht versucht, sie zu löschen. Des Weiteren wurden bei dem Scan insgesamt über 3000 versteckte Objekte entdeckt, das sind sonst weit weniger.

Code:
ATTFilter
Die Datei 'C:\Qoobox\Quarantine\C\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\safa7_22.vbs.vir'
enthielt einen Virus oder unerwünschtes Programm 'VBS/Obfs.I' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57f5e93e.qua' verschoben!
         

Alt 13.10.2013, 19:17   #23
308
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Hallo Cosinus!

Hast du den letzten Beitrag schon gelesen? Avira hat nochmal die Signatur von dem Ding gefunden. Sind das wieder "Reste" oder habe ich das Problem immer noch?

Alt 14.10.2013, 12:35   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Das ist doch nur der Q-Ordner von Combofix
Was bitte ist jetzt noch an Problemen offen?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.10.2013, 17:41   #25
308
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Alles klar, also ist wohl alles gut. Vielen Dank!
Ich verstehe von diesen Sachen einfach nur Bahnhof :-)

Alt 15.10.2013, 12:02   #26
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Dann wären wir durch!


Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board

Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden.

Helfen kann dir dabei delfix:


Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.






Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.12.2013, 16:05   #27
308
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Hallo Cosinus,

obwohl meine Autorun deaktiviert ist, habe ich wieder so eine vbs. Datei auf meinem Rechner. Ich habe eigentlich alle Sticks etc. geprüft...
Sie befindet sich an dem selben Ort wie damals safa7_22. Eigentlich ist auch der Effekt der Gleiche...
Nur hat das Teil jetzt einen anderen Namen.

Jetzt heißt es

c:\users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs

Kannst du mir nochmal helfen?

Hier gleich mal die Logs von Malwarebytes, FRST, AdwCleaner und JRT. Der Log von Avira ist zu lang zum posten...
Wird dieser benötigt?


FRST:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 14-12-2013
Ran by Toshiba (administrator) on TOSHIBA-TOSH on 14-12-2013 13:26:48
Running from C:\Users\Toshiba\Desktop
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\System32\wlanext.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
(Nero AG) C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe
(TOSHIBA Corporation) C:\Windows\System32\ThpSrv.exe
(TOSHIBA Corporation) C:\Windows\System32\TODDSrv.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\TECO\TecoService.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(TOSHIBA Corporation) C:\Windows\System32\ThpSrv.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\TECO\Teco.exe
(Toshiba Europe GmbH) C:\Program Files (x86)\Toshiba TEMPRO\TemproTray.exe
(Toshiba Europe GmbH) C:\Program Files\Toshiba\Registration\ToshibaReminder.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\Power Saver\TPwrMain.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\SmoothView\SmoothView.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\FlashCards\TCrdMain.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE
(Microsoft Corporation) C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE
(Microsoft Corporation) C:\Windows\System32\wscript.exe
() C:\Program Files\Toshiba\FlashCards\Hotkey\TCrdKBB.exe
(TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
(TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSwMgr.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe
(TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe
(TOSHIBA Corporation) C:\Program Files (x86)\TOSHIBA\TRCMan\TRCMan.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\TOSHIBA HDD SSD Alert\TosSmartSrv.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\TPHM\TPCHSrv.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\TOSHIBA HDD SSD Alert\TosSENotify.exe
(TOSHIBA Corporation) C:\Program Files\Toshiba\TPHM\TPCHWMsg.exe
(TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe
(TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Google Inc.) C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe
(Adobe Systems Incorporated) C:\Windows\System32\Macromed\Flash\FlashUtil64_11_9_900_117_ActiveX.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [10134560 2010-03-22] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg] - C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [896032 2010-03-22] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2052392 2010-03-10] (Synaptics Incorporated)
HKLM\...\Run: [ThpSrv] - C:\windows\system32\thpsrv /logon
HKLM\...\Run: [Teco] - C:\Program Files\Toshiba\TECO\Teco.exe [1489760 2010-04-06] (TOSHIBA Corporation)
HKLM\...\Run: [TosSENotify] - C:\Program Files\Toshiba\TOSHIBA HDD SSD Alert\TosWaitSrv.exe [709976 2010-02-05] (TOSHIBA Corporation)
HKLM\...\Run: [TosWaitSrv] - C:\Program Files\Toshiba\TPHM\TosWaitSrv.exe [705368 2010-02-23] (TOSHIBA Corporation)
HKLM\...\Run: [SmartFaceVWatcher] - C:\Program Files\Toshiba\SmartFaceV\SmartFaceVWatcher.exe [238080 2009-10-19] (TOSHIBA Corporation)
HKLM\...\Run: [TosVolRegulator] - C:\Program Files\Toshiba\TosVolRegulator\TosVolRegulator.exe [24376 2009-11-11] (TOSHIBA Corporation)
HKLM\...\Run: [Toshiba TEMPRO] - C:\Program Files (x86)\Toshiba TEMPRO\TemproTray.exe [1050072 2010-02-11] (Toshiba Europe GmbH)
HKLM\...\Run: [Toshiba Registration] - C:\Program Files\Toshiba\Registration\ToshibaReminder.exe [136136 2010-04-19] (Toshiba Europe GmbH)
HKLM\...\Run: [TPwrMain] - C:\Program Files\Toshiba\Power Saver\TPwrMain.exe [566184 2010-09-28] (TOSHIBA Corporation)
HKLM\...\Run: [HSON] - C:\Program Files\Toshiba\TBS\HSON.exe [52600 2009-03-09] (TOSHIBA Corporation)
HKLM\...\Run: [SmoothView] - C:\Program Files\Toshiba\SmoothView\SmoothView.exe [570680 2009-08-13] (TOSHIBA Corporation)
HKLM\...\Run: [00TCrdMain] - C:\Program Files\Toshiba\FlashCards\TCrdMain.exe [915320 2010-05-10] (TOSHIBA Corporation)
HKCU\...\Run: [OfficeSyncProcess] - C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE [720064 2013-04-22] (Microsoft Corporation)
HKCU\...\Run: [safa7_22] - C:\Users\Toshiba\AppData\Roaming\safa7_22.vbs [0 2013-10-07] ()
HKCU\...\Run: [swg] - C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2010-12-13] (Google Inc.)
HKCU\...\Run: [ciizgfaygg] - C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs [70199 2013-07-27] () <===== ATTENTION
HKLM-x32\...\Run: [SVPWUTIL] - C:\Program Files (x86)\TOSHIBA\Utilities\SVPWUTIL.exe [352256 2010-02-22] (TOSHIBA)
HKLM-x32\...\Run: [HWSetup] - C:\Program Files\Toshiba\Utilities\HWSetup.exe [423936 2010-03-04] (TOSHIBA Electronics, Inc.)
HKLM-x32\...\Run: [KeNotify] - C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe [34160 2009-12-25] (TOSHIBA CORPORATION)
HKLM-x32\...\Run: [ITSecMng] - C:\Program Files (x86)\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe [83336 2009-07-22] (TOSHIBA CORPORATION)
HKLM-x32\...\Run: [TRCMan] - C:\Program Files (x86)\TOSHIBA\TRCMan\TRCMan.exe [701752 2009-07-21] (TOSHIBA Corporation)
HKLM-x32\...\Run: [TWebCamera] - C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe [2454840 2010-02-24] (TOSHIBA CORPORATION.)
HKLM-x32\...\Run: [] - [x]
HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [683576 2013-11-19] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKU\Default\...\Run: [TOSHIBA Online Product Information] - C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\TOPI.exe [4581280 2010-03-03] (TOSHIBA)
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
ShortcutTarget: TRDCReminder.lnk -> C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
ShortcutTarget: TRDCReminder.lnk -> C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)
Startup: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs ()
BootExecute: autocheck autochk * sdnclean64.exe

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKCU - DefaultScope {727B7DD5-C094-4D23-A9D7-0DDA240E4489} URL = hxxp://search.ividi.org/?q={searchTerms}&src=tbsp&id=a853117d00000000000088ae1d50dffa&affilt=3&r=979
SearchScopes: HKCU - {08A059CE-029C-425B-A390-4DB3FF42A2F7} URL = 
SearchScopes: HKCU - {1693C2F3-4930-41AF-89F1-F1557E974FCC} URL = hxxp://rover.ebay.com/rover/1/707-44556-9400-9/4?satitle={searchTerms}
SearchScopes: HKCU - {2A9BD6BD-DDF2-4ED9-90E5-74B18360C039} URL = 
SearchScopes: HKCU - {727B7DD5-C094-4D23-A9D7-0DDA240E4489} URL = hxxp://search.ividi.org/?q={searchTerms}&src=tbsp&id=a853117d00000000000088ae1d50dffa&affilt=3&r=979
SearchScopes: HKCU - {AE9B2183-80F6-44E4-B4FB-0019E2630828} URL = hxxp://www.amazon.de/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibade-win7-ie-search-21&index=blended&linkCode=ur2
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} -  No File
BHO-x32: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
BHO-x32: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: TOSHIBA Media Controller Plug-in - {F3C88694-EFFA-4d78-B409-54B7B2535B14} - C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\TOSHIBAMediaControllerIE.dll (<TOSHIBA>)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKCU - Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: HKLM-x32 {C345E174-3E87-4F41-A01C-B066A90A49B4} hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} -  No File
Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
Handler-x32: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

Chrome: 
=======
Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION
CHR Extension: (iVidi Chrome Toolbar) - C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\default\extensions\kpdhgpkkloealnjnmepfhanpcleldbef\1.0_0
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-11-19] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-11-19] (Avira Operations GmbH & Co. KG)
S4 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [1164360 2013-11-19] (Avira Operations GmbH & Co. KG)
R2 MBAMScheduler; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
S2 MBAMService; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
S3 TemproMonitoringService; C:\Program Files (x86)\Toshiba TEMPRO\TemproSvc.exe [124368 2010-02-11] (Toshiba Europe GmbH)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [107416 2013-12-03] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132600 2013-11-19] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-11-19] (Avira Operations GmbH & Co. KG)
R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [25928 2013-04-04] (Malwarebytes Corporation)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-12-23] ()
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 cpuz132; \??\C:\Users\Toshiba\AppData\Local\Temp\cpuz132\cpuz132_x64.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-12-14 13:26 - 2013-12-14 13:26 - 00015887 _____ C:\Users\Toshiba\Desktop\FRST.txt
2013-12-14 13:25 - 2013-12-14 13:26 - 01927746 _____ (Farbar) C:\Users\Toshiba\Desktop\FRST64.exe
2013-12-13 14:23 - 2013-05-10 06:56 - 14631424 _____ (Microsoft Corporation) C:\windows\system32\wmp.dll
2013-12-13 14:23 - 2013-05-10 06:56 - 12625920 _____ (Microsoft Corporation) C:\windows\system32\wmploc.DLL
2013-12-13 14:23 - 2013-05-10 05:56 - 12625408 _____ (Microsoft Corporation) C:\windows\SysWOW64\wmploc.DLL
2013-12-13 14:23 - 2013-05-10 05:56 - 11410432 _____ (Microsoft Corporation) C:\windows\SysWOW64\wmp.dll
2013-12-13 14:22 - 2013-10-25 07:19 - 02241536 _____ (Microsoft Corporation) C:\windows\system32\wininet.dll
2013-12-13 14:22 - 2013-10-25 07:19 - 01365504 _____ (Microsoft Corporation) C:\windows\system32\urlmon.dll
2013-12-13 14:22 - 2013-10-25 07:19 - 00051712 _____ (Microsoft Corporation) C:\windows\system32\ie4uinit.exe
2013-12-13 14:22 - 2013-10-25 07:18 - 19271168 _____ (Microsoft Corporation) C:\windows\system32\mshtml.dll
2013-12-13 14:22 - 2013-10-25 07:18 - 00603136 _____ (Microsoft Corporation) C:\windows\system32\msfeeds.dll
2013-12-13 14:22 - 2013-10-25 07:17 - 15404032 _____ (Microsoft Corporation) C:\windows\system32\ieframe.dll
2013-12-13 14:22 - 2013-10-25 07:17 - 03959808 _____ (Microsoft Corporation) C:\windows\system32\jscript9.dll
2013-12-13 14:22 - 2013-10-25 07:17 - 02648576 _____ (Microsoft Corporation) C:\windows\system32\iertutil.dll
2013-12-13 14:22 - 2013-10-25 07:17 - 00855552 _____ (Microsoft Corporation) C:\windows\system32\jscript.dll
2013-12-13 14:22 - 2013-10-25 07:17 - 00526336 _____ (Microsoft Corporation) C:\windows\system32\ieui.dll
2013-12-13 14:22 - 2013-10-25 07:17 - 00136704 _____ (Microsoft Corporation) C:\windows\system32\iesysprep.dll
2013-12-13 14:22 - 2013-10-25 07:17 - 00067072 _____ (Microsoft Corporation) C:\windows\system32\iesetup.dll
2013-12-13 14:22 - 2013-10-25 07:17 - 00053248 _____ (Microsoft Corporation) C:\windows\system32\jsproxy.dll
2013-12-13 14:22 - 2013-10-25 07:17 - 00039936 _____ (Microsoft Corporation) C:\windows\system32\iernonce.dll
2013-12-13 14:22 - 2013-10-25 05:45 - 01767936 _____ (Microsoft Corporation) C:\windows\SysWOW64\wininet.dll
2013-12-13 14:22 - 2013-10-25 05:44 - 14356992 _____ (Microsoft Corporation) C:\windows\SysWOW64\mshtml.dll
2013-12-13 14:22 - 2013-10-25 05:44 - 01140736 _____ (Microsoft Corporation) C:\windows\SysWOW64\urlmon.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 13761536 _____ (Microsoft Corporation) C:\windows\SysWOW64\ieframe.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 02877952 _____ (Microsoft Corporation) C:\windows\SysWOW64\jscript9.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 02049024 _____ (Microsoft Corporation) C:\windows\SysWOW64\iertutil.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 00690688 _____ (Microsoft Corporation) C:\windows\SysWOW64\jscript.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 00493056 _____ (Microsoft Corporation) C:\windows\SysWOW64\msfeeds.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 00391168 _____ (Microsoft Corporation) C:\windows\SysWOW64\ieui.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 00109056 _____ (Microsoft Corporation) C:\windows\SysWOW64\iesysprep.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 00061440 _____ (Microsoft Corporation) C:\windows\SysWOW64\iesetup.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 00039424 _____ (Microsoft Corporation) C:\windows\SysWOW64\jsproxy.dll
2013-12-13 14:22 - 2013-10-25 05:43 - 00033280 _____ (Microsoft Corporation) C:\windows\SysWOW64\iernonce.dll
2013-12-13 14:22 - 2013-10-25 05:07 - 02706432 _____ (Microsoft Corporation) C:\windows\system32\mshtml.tlb
2013-12-13 14:22 - 2013-10-25 04:41 - 02706432 _____ (Microsoft Corporation) C:\windows\SysWOW64\mshtml.tlb
2013-12-13 14:22 - 2013-10-25 04:17 - 00089600 _____ (Microsoft Corporation) C:\windows\system32\RegisterIEPKEYs.exe
2013-12-13 14:22 - 2013-10-25 03:49 - 00071680 _____ (Microsoft Corporation) C:\windows\SysWOW64\RegisterIEPKEYs.exe
2013-12-12 21:40 - 2013-11-12 03:23 - 00002048 _____ (Microsoft Corporation) C:\windows\system32\tzres.dll
2013-12-12 21:40 - 2013-11-12 03:07 - 00002048 _____ (Microsoft Corporation) C:\windows\SysWOW64\tzres.dll
2013-12-12 21:03 - 2013-10-30 02:24 - 03155968 _____ (Microsoft Corporation) C:\windows\system32\win32k.sys
2013-12-12 20:47 - 2013-10-19 03:18 - 00081408 _____ (Microsoft Corporation) C:\windows\system32\imagehlp.dll
2013-12-12 20:47 - 2013-10-19 02:36 - 00159232 _____ (Microsoft Corporation) C:\windows\SysWOW64\imagehlp.dll
2013-12-12 20:28 - 2013-10-30 03:32 - 00335360 _____ (Microsoft Corporation) C:\windows\system32\msieftp.dll
2013-12-12 20:28 - 2013-10-30 03:19 - 00301568 _____ (Microsoft Corporation) C:\windows\SysWOW64\msieftp.dll
2013-12-12 20:18 - 2013-11-23 19:26 - 00417792 _____ (Microsoft Corporation) C:\windows\SysWOW64\WMPhoto.dll
2013-12-12 20:18 - 2013-11-23 18:47 - 00465920 _____ (Microsoft Corporation) C:\windows\system32\WMPhoto.dll
2013-12-12 20:17 - 2013-10-04 03:16 - 00116736 _____ (Microsoft Corporation) C:\windows\system32\Drivers\drmk.sys
2013-12-12 20:17 - 2013-10-04 02:36 - 00230400 _____ (Microsoft Corporation) C:\windows\system32\Drivers\portcls.sys
2013-12-12 20:09 - 2013-10-12 03:32 - 00150016 _____ (Microsoft Corporation) C:\windows\system32\wshom.ocx
2013-12-12 20:09 - 2013-10-12 03:31 - 00202752 _____ (Microsoft Corporation) C:\windows\system32\scrrun.dll
2013-12-12 20:09 - 2013-10-12 03:04 - 00121856 _____ (Microsoft Corporation) C:\windows\SysWOW64\wshom.ocx
2013-12-12 20:09 - 2013-10-12 03:03 - 00163840 _____ (Microsoft Corporation) C:\windows\SysWOW64\scrrun.dll
2013-12-12 20:09 - 2013-10-12 02:33 - 00168960 _____ (Microsoft Corporation) C:\windows\system32\wscript.exe
2013-12-12 20:09 - 2013-10-12 02:33 - 00156160 _____ (Microsoft Corporation) C:\windows\system32\cscript.exe
2013-12-12 20:09 - 2013-10-12 02:15 - 00141824 _____ (Microsoft Corporation) C:\windows\SysWOW64\wscript.exe
2013-12-12 20:09 - 2013-10-12 02:15 - 00126976 _____ (Microsoft Corporation) C:\windows\SysWOW64\cscript.exe
2013-11-20 17:14 - 2013-11-20 17:14 - 00000000 ____D C:\ProgramData\Oracle
2013-11-20 17:12 - 2013-11-20 17:12 - 00264616 _____ (Oracle Corporation) C:\windows\SysWOW64\javaws.exe
2013-11-20 17:12 - 2013-11-20 17:12 - 00096168 _____ (Oracle Corporation) C:\windows\SysWOW64\WindowsAccessBridge-32.dll
2013-11-18 15:44 - 2013-11-25 11:00 - 00000000 ____D C:\Users\Toshiba\Desktop\Ideen
2013-11-14 14:25 - 2013-09-25 03:26 - 00154560 _____ (Microsoft Corporation) C:\windows\system32\Drivers\ksecpkg.sys
2013-11-14 14:25 - 2013-09-25 03:26 - 00095680 _____ (Microsoft Corporation) C:\windows\system32\Drivers\ksecdd.sys
2013-11-14 14:25 - 2013-09-25 03:23 - 00135680 _____ (Microsoft Corporation) C:\windows\system32\sspicli.dll
2013-11-14 14:25 - 2013-09-25 03:23 - 00028672 _____ (Microsoft Corporation) C:\windows\system32\sspisrv.dll
2013-11-14 14:25 - 2013-09-25 03:23 - 00028160 _____ (Microsoft Corporation) C:\windows\system32\secur32.dll
2013-11-14 14:25 - 2013-09-25 03:22 - 00340992 _____ (Microsoft Corporation) C:\windows\system32\schannel.dll
2013-11-14 14:25 - 2013-09-25 03:21 - 01447936 _____ (Microsoft Corporation) C:\windows\system32\lsasrv.dll
2013-11-14 14:25 - 2013-09-25 03:21 - 00307200 _____ (Microsoft Corporation) C:\windows\system32\ncrypt.dll
2013-11-14 14:25 - 2013-09-25 02:58 - 00096768 _____ (Microsoft Corporation) C:\windows\SysWOW64\sspicli.dll
2013-11-14 14:25 - 2013-09-25 02:57 - 00247808 _____ (Microsoft Corporation) C:\windows\SysWOW64\schannel.dll
2013-11-14 14:25 - 2013-09-25 02:57 - 00022016 _____ (Microsoft Corporation) C:\windows\SysWOW64\secur32.dll
2013-11-14 14:25 - 2013-09-25 02:56 - 00220160 _____ (Microsoft Corporation) C:\windows\SysWOW64\ncrypt.dll
2013-11-14 14:25 - 2013-09-25 02:03 - 00030720 _____ (Microsoft Corporation) C:\windows\system32\lsass.exe
2013-11-14 14:25 - 2013-07-04 13:18 - 00458712 _____ (Microsoft Corporation) C:\windows\system32\Drivers\cng.sys
2013-11-14 13:46 - 2013-10-05 21:25 - 01474048 _____ (Microsoft Corporation) C:\windows\system32\crypt32.dll
2013-11-14 13:46 - 2013-10-05 20:57 - 01168384 _____ (Microsoft Corporation) C:\windows\SysWOW64\crypt32.dll
2013-11-14 13:16 - 2013-10-04 03:28 - 00190464 _____ (Microsoft Corporation) C:\windows\system32\SmartcardCredentialProvider.dll
2013-11-14 13:16 - 2013-10-04 03:25 - 00197120 _____ (Microsoft Corporation) C:\windows\system32\credui.dll
2013-11-14 13:16 - 2013-10-04 03:24 - 01930752 _____ (Microsoft Corporation) C:\windows\system32\authui.dll
2013-11-14 13:16 - 2013-10-04 02:58 - 00152576 _____ (Microsoft Corporation) C:\windows\SysWOW64\SmartcardCredentialProvider.dll
2013-11-14 13:16 - 2013-10-04 02:56 - 01796096 _____ (Microsoft Corporation) C:\windows\SysWOW64\authui.dll
2013-11-14 13:16 - 2013-10-04 02:56 - 00168960 _____ (Microsoft Corporation) C:\windows\SysWOW64\credui.dll
2013-11-14 13:16 - 2013-09-28 02:09 - 00497152 _____ (Microsoft Corporation) C:\windows\system32\Drivers\afd.sys
2013-11-14 12:23 - 2013-10-12 03:30 - 00830464 _____ (Microsoft Corporation) C:\windows\system32\nshwfp.dll
2013-11-14 12:23 - 2013-10-12 03:29 - 00859648 _____ (Microsoft Corporation) C:\windows\system32\IKEEXT.DLL
2013-11-14 12:23 - 2013-10-12 03:29 - 00324096 _____ (Microsoft Corporation) C:\windows\system32\FWPUCLNT.DLL
2013-11-14 12:23 - 2013-10-12 03:03 - 00656896 _____ (Microsoft Corporation) C:\windows\SysWOW64\nshwfp.dll
2013-11-14 12:23 - 2013-10-12 03:01 - 00216576 _____ (Microsoft Corporation) C:\windows\SysWOW64\FWPUCLNT.DLL
2013-11-14 12:23 - 2013-10-03 03:23 - 00404480 _____ (Microsoft Corporation) C:\windows\system32\gdi32.dll
2013-11-14 12:23 - 2013-10-03 03:00 - 00311808 _____ (Microsoft Corporation) C:\windows\SysWOW64\gdi32.dll

==================== One Month Modified Files and Folders =======

2013-12-14 13:27 - 2013-12-14 13:26 - 00015887 _____ C:\Users\Toshiba\Desktop\FRST.txt
2013-12-14 13:26 - 2013-12-14 13:25 - 01927746 _____ (Farbar) C:\Users\Toshiba\Desktop\FRST64.exe
2013-12-14 12:57 - 2012-09-24 17:46 - 00000884 _____ C:\windows\Tasks\Adobe Flash Player Updater.job
2013-12-14 12:48 - 2010-12-13 16:43 - 00001112 _____ C:\windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-12-14 12:24 - 2009-07-14 05:45 - 00016080 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-12-14 12:24 - 2009-07-14 05:45 - 00016080 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-12-14 12:18 - 2010-12-13 16:43 - 00000000 ____D C:\Users\Toshiba\AppData\Local\Google
2013-12-14 12:16 - 2010-12-13 16:43 - 00001108 _____ C:\windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-12-14 12:15 - 2009-07-14 06:08 - 00000006 ____H C:\windows\Tasks\SA.DAT
2013-12-14 12:15 - 2009-07-14 05:51 - 00200542 _____ C:\windows\setupact.log
2013-12-14 10:00 - 2010-07-18 12:54 - 01137461 _____ C:\windows\WindowsUpdate.log
2013-12-14 00:23 - 2012-03-10 14:28 - 00003954 _____ C:\windows\System32\Tasks\User_Feed_Synchronization-{AB0334C5-6282-41F4-9B68-A22855822001}
2013-12-13 18:26 - 2010-09-26 21:08 - 00000000 ____D C:\Users\Toshiba\Desktop\Sebastian
2013-12-13 18:25 - 2012-10-30 18:50 - 00000000 ____D C:\Users\Toshiba\Desktop\Namibia
2013-12-13 16:51 - 2009-07-14 06:09 - 00000000 ____D C:\windows\System32\Tasks\WPD
2013-12-13 16:44 - 2010-09-23 14:34 - 00000000 ____D C:\Users\Toshiba\AppData\Roaming\Skype
2013-12-13 15:50 - 2010-05-05 22:05 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-12-13 15:50 - 2010-05-05 22:05 - 00000000 ____D C:\ProgramData\Skype
2013-12-13 14:22 - 2010-05-05 22:12 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-12-13 10:37 - 2009-07-14 18:58 - 00654852 _____ C:\windows\system32\perfh007.dat
2013-12-13 10:37 - 2009-07-14 18:58 - 00130434 _____ C:\windows\system32\perfc007.dat
2013-12-13 10:37 - 2009-07-14 06:13 - 01500294 _____ C:\windows\system32\PerfStringBackup.INI
2013-12-13 06:42 - 2010-12-13 16:43 - 00004108 _____ C:\windows\System32\Tasks\GoogleUpdateTaskMachineUA
2013-12-13 06:42 - 2010-12-13 16:43 - 00003856 _____ C:\windows\System32\Tasks\GoogleUpdateTaskMachineCore
2013-12-13 06:12 - 2009-07-14 05:45 - 00445056 _____ C:\windows\system32\FNTCACHE.DAT
2013-12-12 22:50 - 2010-08-31 08:32 - 00000000 ___RD C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2013-12-03 20:57 - 2013-07-21 11:14 - 00000000 ____D C:\Users\Toshiba\AppData\Roaming\Dropbox
2013-12-03 20:56 - 2013-07-21 11:16 - 00000000 ___RD C:\Users\Toshiba\Dropbox
2013-12-03 20:55 - 2009-07-14 06:08 - 00032640 _____ C:\windows\Tasks\SCHEDLGU.TXT
2013-12-03 12:22 - 2013-08-15 10:38 - 00107416 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avgntflt.sys
2013-12-03 10:46 - 2013-08-13 20:50 - 00000000 ____D C:\Program Files (x86)\Mobile Partner
2013-12-02 18:34 - 2013-10-07 06:35 - 00000000 ____D C:\AdwCleaner
2013-12-01 14:12 - 2011-01-19 19:09 - 00000000 ____D C:\Users\Toshiba\AppData\Roaming\dvdcss
2013-11-28 12:21 - 2011-06-24 23:56 - 02241024 ___SH C:\Users\Toshiba\Desktop\Thumbs.db
2013-11-25 11:00 - 2013-11-18 15:44 - 00000000 ____D C:\Users\Toshiba\Desktop\Ideen
2013-11-23 19:26 - 2013-12-12 20:18 - 00417792 _____ (Microsoft Corporation) C:\windows\SysWOW64\WMPhoto.dll
2013-11-23 18:47 - 2013-12-12 20:18 - 00465920 _____ (Microsoft Corporation) C:\windows\system32\WMPhoto.dll
2013-11-21 09:18 - 2012-01-18 18:18 - 00000000 ____D C:\Users\Toshiba\Documents\Outlook-Dateien
2013-11-20 17:14 - 2013-11-20 17:14 - 00000000 ____D C:\ProgramData\Oracle
2013-11-20 17:12 - 2013-11-20 17:12 - 00264616 _____ (Oracle Corporation) C:\windows\SysWOW64\javaws.exe
2013-11-20 17:12 - 2013-11-20 17:12 - 00096168 _____ (Oracle Corporation) C:\windows\SysWOW64\WindowsAccessBridge-32.dll
2013-11-20 17:12 - 2013-06-20 16:07 - 00175016 _____ (Oracle Corporation) C:\windows\SysWOW64\javaw.exe
2013-11-20 17:12 - 2013-06-20 16:07 - 00174504 _____ (Oracle Corporation) C:\windows\SysWOW64\java.exe
2013-11-20 17:12 - 2010-09-09 14:38 - 00000000 ____D C:\Program Files (x86)\Java
2013-11-19 13:18 - 2013-08-15 10:39 - 00083160 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avnetflt.sys
2013-11-19 13:18 - 2013-08-15 10:38 - 00132600 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avipbb.sys
2013-11-19 13:18 - 2013-08-15 10:38 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avkmgr.sys
2013-11-17 11:34 - 2009-07-14 04:20 - 00000000 ____D C:\windows\system32\NDF
2013-11-14 23:38 - 2013-08-15 18:38 - 00000000 ____D C:\windows\system32\MRT
2013-11-14 23:35 - 2011-01-26 16:12 - 82896128 _____ (Microsoft Corporation) C:\windows\system32\MRT.exe
2013-11-14 09:27 - 2010-09-25 13:25 - 00000000 ____D C:\Users\Toshiba\AppData\Local\Microsoft Games

Files to move or delete:
====================
C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs


Some content of TEMP:
====================
C:\Users\Toshiba\AppData\Local\Temp\avgnt.exe
C:\Users\Toshiba\AppData\Local\Temp\DataCard_Setup64.exe
C:\Users\Toshiba\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
C:\Users\Toshiba\AppData\Local\Temp\ResetDevice.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-10-21 11:28

==================== End Of Log ============================
         
--- --- ---

--- --- ---


JRT:

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.8 (11.05.2013:1)
OS: Windows 7 Home Premium x64
Ran by Toshiba on 14.12.2013 at 14:46:49,15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 14.12.2013 at 14:54:31,00
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

AdwCleaner:

AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v3.015 - Bericht erstellt am 14/12/2013 um 14:37:54
# Updated 10/12/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : Toshiba - TOSHIBA-TOSH
# Gestartet von : C:\Users\Toshiba\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\windows\installer\{86d4b82a-abed-442a-be86-96357b70f4fe}

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\WLXQuickTimeShellExt.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Schlüssel Gelöscht : HKLM\Software\Uniblue

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.16428


*************************

AdwCleaner[R0].txt - [6073 octets] - [07/10/2013 06:44:31]
AdwCleaner[R1].txt - [1046 octets] - [02/12/2013 18:33:39]
AdwCleaner[R2].txt - [1491 octets] - [14/12/2013 14:36:32]
AdwCleaner[S0].txt - [5930 octets] - [07/10/2013 06:45:23]
AdwCleaner[S1].txt - [1414 octets] - [14/12/2013 14:37:54]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1474 octets] ##########
         
--- --- ---



Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.12.12.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16736
Toshiba :: TOSHIBA-TOSH [Administrator]

13.12.2013 09:41:39
mbam-log-2013-12-13 (09-41-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 401055
Laufzeit: 1 Stunde(n), 55 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Alt 15.12.2013, 19:38   #28
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
HKCU\...\Run: [ciizgfaygg] - C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs [70199 2013-07-27] () <===== ATTENTION
Startup: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs ()
C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs
C:\Users\Toshiba\AppData\Local\Temp\avgnt.exe
C:\Users\Toshiba\AppData\Local\Temp\DataCard_Setup64.exe
C:\Users\Toshiba\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
C:\Users\Toshiba\AppData\Local\Temp\ResetDevice.exe
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.12.2013, 21:46   #29
308
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Hallo Cosinus,

erneut vielen Dank für deine Hilfe! Hier der Fixlog:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 16-12-2013 02
Ran by Toshiba at 2013-12-16 21:38:20 Run:3
Running from C:\Users\Toshiba\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
HKCU\...\Run: [ciizgfaygg] - C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs [70199 2013-07-27] () <===== ATTENTION
Startup: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs ()
C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs
C:\Users\Toshiba\AppData\Local\Temp\avgnt.exe
C:\Users\Toshiba\AppData\Local\Temp\DataCard_Setup64.exe
C:\Users\Toshiba\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
C:\Users\Toshiba\AppData\Local\Temp\ResetDevice.exe
*****************

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\ciizgfaygg => Value deleted successfully.
C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs => Moved successfully.
Could not move "C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs" => Scheduled to move on reboot.
C:\Users\Toshiba\AppData\Local\Temp\avgnt.exe => Moved successfully.
"C:\Users\Toshiba\AppData\Local\Temp\DataCard_Setup64.exe" => File/Directory not found.
"C:\Users\Toshiba\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe" => File/Directory not found.
"C:\Users\Toshiba\AppData\Local\Temp\ResetDevice.exe" => File/Directory not found.

=> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2013-12-16 21:42:27)<=

"C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs" => File could not move.

==== End of Fixlog ====
         

Alt 16.12.2013, 22:19   #30
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Standard

Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32



Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32
appdata, autorun, computer, dateien, formatierung, laptop, musik, problem, programm, pup.optional.browsefox.a, pup.optional.installcore, safa7_22, start, stick, system, system32, toshiba, trojaner, usb, usb stick, vbs/dldr.agent.1438, windows




Ähnliche Themen: Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32


  1. USB Virus - vsb Datei auf Stick entdeckt, alle Dateien schreibgeschützt und versteckt
    Plagegeister aller Art und deren Bekämpfung - 18.03.2015 (14)
  2. Dateien auf USB-Stick Verknüpfungen echte Dateien versteckt
    Plagegeister aller Art und deren Bekämpfung - 08.04.2014 (5)
  3. Auf USB Stick nur noch Verknüpfungen (Dateien sind versteckt)
    Log-Analyse und Auswertung - 27.02.2014 (19)
  4. Windows 7: USB-Stick erstellt verknüpfungen zu jedem File/Ordner und versteckt die echten Files/Ordner
    Log-Analyse und Auswertung - 14.01.2014 (23)
  5. USB Stick - nur noch Verknüpfungen gespeichert, Files werden "versteckt" bzw. gelöscht
    Log-Analyse und Auswertung - 24.10.2013 (4)
  6. Dateien versteckt/unsichtbar wegen Virus?
    Plagegeister aller Art und deren Bekämpfung - 11.12.2012 (27)
  7. Dateien und Programme versteckt
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  8. Trojaner versteckt Dateien auf externer Festplatte
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (1)
  9. Virus/Trojaner - kopierte Dateien auf USB-Stick sind nur Verknüpfungen, bzw Versteckt/Schreibgesch
    Plagegeister aller Art und deren Bekämpfung - 10.01.2012 (38)
  10. Virus/Trojaner - kopierte Dateien auf USB-Stick sind nur Verknüpfungen, bzw Versteckt (Vista)
    Plagegeister aller Art und deren Bekämpfung - 07.01.2012 (1)
  11. Virus/Trojaner - kopierte Dateien auf USB-Stick sind nur Verknüpfungen, bzw Versteckt/Schreibgesch.
    Plagegeister aller Art und deren Bekämpfung - 16.11.2011 (13)
  12. Virus/Trojaner hat alle Dateien versteckt
    Log-Analyse und Auswertung - 24.10.2011 (1)
  13. Virus versteckt dateien auf Externer Festplatte
    Plagegeister aller Art und deren Bekämpfung - 04.09.2011 (1)
  14. Schwarzer Bildschirm, Dateien versteckt
    Log-Analyse und Auswertung - 05.06.2011 (23)
  15. Schwarzer Bildschrim, Dateien versteckt
    Log-Analyse und Auswertung - 30.05.2011 (33)
  16. Dateien versteckt, Desktop leer - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 27.05.2011 (11)
  17. TR/Kazy.mekml.1 - Festplattenfehler, Dateien versteckt
    Log-Analyse und Auswertung - 02.05.2011 (27)

Zum Thema Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 - Das ging schnell. Hier der Fixlog: Code: Alles auswählen Aufklappen ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 02-10-2013 Ran by Toshiba at 2013-10-08 14:46:48 - Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32...
Archiv
Du betrachtest: Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.