|
Log-Analyse und Auswertung: Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.10.2013, 13:47 | #16 |
| Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Das ging schnell. Hier der Fixlog: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 02-10-2013 Ran by Toshiba at 2013-10-08 14:46:48 Run:1 Running from C:\Users\Toshiba\Desktop Boot Mode: Normal ============================================== Content of fixlist: ***************** C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\staxnet.vbe ***************** C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\staxnet.vbe => Moved successfully. ==== End of Fixlog ==== |
08.10.2013, 13:59 | #17 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Sieht soweit ok aus
__________________Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ |
08.10.2013, 14:08 | #18 |
| Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Also zunächst Mal TAUSEND Dank. Das war mittlerweile richtig lästig. Wird der Post jetzt geschlossen? Ich lasse heute Nachmittag nochmal alle Scans laufen, wenn die was finden, poste ich das hier nochmal wenn es in Ordnung ist. Ich werde mir MVPS Hosts File runterladen.
__________________Das System ist soweit in Ordnung, es hatte auch mit diesem Safa7-Mist ganz gut funktioniert, aber irgendwie war mit dabei unwohl. Nur nochmal die Sache, die ich schon Mal angesprochen habe: Kann ich USB Stick´s etc. die mit dem Virus befallen waren irgendwie reinigen? Oder hilft nur noch die reinigende Mülltonne? |
08.10.2013, 14:14 | #19 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Automatische Wiedergabe (Autorun) deaktivieren Lesestoff: Aufgabe von Autorun Die Hauptaufgabe von Autorun besteht darin, auf Hardwareaktionen, die auf einem Computer gestartet werden, softwareseitig zu reagieren. Autorun bietet die folgenden Funktionen:
Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen. Während der automatischen Wiedergabe wird die Datei "Autorun.inf" auf dem Medium analysiert. Diese Datei legt fest, welche Befehle vom System ausgeführt werden. Viele Firmen nutzen diese Funktionalität zum Starten von Installationsprogrammen. Das Problem bzw. das Sicherheitsrisiko besteht darin, dass die Autorun-Funktion missbraucht werden kann, um automatisch zB auf infizierten USB-Sticks eine Schädlingsdatei (die in der autorun.inf definiert ist) auszuführen. Ich empfehle dir daher dringend, Autorun komplett zu deaktivieren. Windows XP: Zur Vereinfachung hab ich die Datei noautorun.reg hochgeladen. Lade sie bitte auf den Desktop herunter, führ die Datei per Doppelklick aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch. Falls die o.g. Datei noautorun.reg nicht herunterladbar sein sollte, hier der Inhalt der noautorun.reg; einfach in eine Textdatei kopieren und diese als noautorun.reg Datei abspeichern und per Doppelklick ausführen um es in die Registry zu schreiben: Code:
ATTFilter Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern
__________________ Logfiles bitte immer in CODE-Tags posten |
08.10.2013, 14:30 | #20 |
| Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Alles klar, die Autorun ist deaktiviert. Kann ich nun die Sachen an den PC anschließen und einen Scanner drüberlaufen lassen? |
08.10.2013, 14:46 | #21 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Ja mach es
__________________ --> Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 |
08.10.2013, 22:22 | #22 |
| Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Guten Abend Cosinus! Ich habe heute nochmal einen Avira-Komplettscan gemacht. Ich glaube, die Safa-Datei wurde nochmal entdeckt. Ich poste mal den Bericht, wenn das in Ordnung ist? Also nur den einen Ausschnitt davon, der ganze Bericht ist viel zu lang, den kann ich nicht posten. Ich habe die Datei in die Quarantäne verschieben lassen und nicht versucht, sie zu löschen. Des Weiteren wurden bei dem Scan insgesamt über 3000 versteckte Objekte entdeckt, das sind sonst weit weniger. Code:
ATTFilter Die Datei 'C:\Qoobox\Quarantine\C\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\safa7_22.vbs.vir' enthielt einen Virus oder unerwünschtes Programm 'VBS/Obfs.I' [virus]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57f5e93e.qua' verschoben! |
13.10.2013, 19:17 | #23 |
| Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Hallo Cosinus! Hast du den letzten Beitrag schon gelesen? Avira hat nochmal die Signatur von dem Ding gefunden. Sind das wieder "Reste" oder habe ich das Problem immer noch? |
14.10.2013, 12:35 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Das ist doch nur der Q-Ordner von Combofix Was bitte ist jetzt noch an Problemen offen?
__________________ Logfiles bitte immer in CODE-Tags posten |
14.10.2013, 17:41 | #25 |
| Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Alles klar, also ist wohl alles gut. Vielen Dank! Ich verstehe von diesen Sachen einfach nur Bahnhof :-) |
15.10.2013, 12:02 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Dann wären wir durch! Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Helfen kann dir dabei delfix: Die Reihenfolge ist hier entscheidend.
Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
14.12.2013, 16:05 | #27 |
| Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Hallo Cosinus, obwohl meine Autorun deaktiviert ist, habe ich wieder so eine vbs. Datei auf meinem Rechner. Ich habe eigentlich alle Sticks etc. geprüft... Sie befindet sich an dem selben Ort wie damals safa7_22. Eigentlich ist auch der Effekt der Gleiche... Nur hat das Teil jetzt einen anderen Namen. Jetzt heißt es c:\users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs Kannst du mir nochmal helfen? Hier gleich mal die Logs von Malwarebytes, FRST, AdwCleaner und JRT. Der Log von Avira ist zu lang zum posten... Wird dieser benötigt? FRST: FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 14-12-2013 Ran by Toshiba (administrator) on TOSHIBA-TOSH on 14-12-2013 13:26:48 Running from C:\Users\Toshiba\Desktop Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard Internet Explorer Version 10 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Microsoft Corporation) C:\Windows\System32\wlanext.exe (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Nero AG) C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe (NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (Microsoft Corporation) C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe (TOSHIBA Corporation) C:\Windows\System32\ThpSrv.exe (TOSHIBA Corporation) C:\Windows\System32\TODDSrv.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\TECO\TecoService.exe (Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation) C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe (Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE (Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (TOSHIBA Corporation) C:\Windows\System32\ThpSrv.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\TECO\Teco.exe (Toshiba Europe GmbH) C:\Program Files (x86)\Toshiba TEMPRO\TemproTray.exe (Toshiba Europe GmbH) C:\Program Files\Toshiba\Registration\ToshibaReminder.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\Power Saver\TPwrMain.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\SmoothView\SmoothView.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\FlashCards\TCrdMain.exe (Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE (Microsoft Corporation) C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE (Microsoft Corporation) C:\Windows\System32\wscript.exe () C:\Program Files\Toshiba\FlashCards\Hotkey\TCrdKBB.exe (TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe (TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSwMgr.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe (TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe (TOSHIBA Corporation) C:\Program Files (x86)\TOSHIBA\TRCMan\TRCMan.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\TOSHIBA HDD SSD Alert\TosSmartSrv.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\TPHM\TPCHSrv.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\TOSHIBA HDD SSD Alert\TosSENotify.exe (TOSHIBA Corporation) C:\Program Files\Toshiba\TPHM\TPCHWMsg.exe (TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe (TOSHIBA CORPORATION) C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe (Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe (Google Inc.) C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe (Adobe Systems Incorporated) C:\Windows\System32\Macromed\Flash\FlashUtil64_11_9_900_117_ActiveX.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [10134560 2010-03-22] (Realtek Semiconductor) HKLM\...\Run: [RtHDVBg] - C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [896032 2010-03-22] (Realtek Semiconductor) HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2052392 2010-03-10] (Synaptics Incorporated) HKLM\...\Run: [ThpSrv] - C:\windows\system32\thpsrv /logon HKLM\...\Run: [Teco] - C:\Program Files\Toshiba\TECO\Teco.exe [1489760 2010-04-06] (TOSHIBA Corporation) HKLM\...\Run: [TosSENotify] - C:\Program Files\Toshiba\TOSHIBA HDD SSD Alert\TosWaitSrv.exe [709976 2010-02-05] (TOSHIBA Corporation) HKLM\...\Run: [TosWaitSrv] - C:\Program Files\Toshiba\TPHM\TosWaitSrv.exe [705368 2010-02-23] (TOSHIBA Corporation) HKLM\...\Run: [SmartFaceVWatcher] - C:\Program Files\Toshiba\SmartFaceV\SmartFaceVWatcher.exe [238080 2009-10-19] (TOSHIBA Corporation) HKLM\...\Run: [TosVolRegulator] - C:\Program Files\Toshiba\TosVolRegulator\TosVolRegulator.exe [24376 2009-11-11] (TOSHIBA Corporation) HKLM\...\Run: [Toshiba TEMPRO] - C:\Program Files (x86)\Toshiba TEMPRO\TemproTray.exe [1050072 2010-02-11] (Toshiba Europe GmbH) HKLM\...\Run: [Toshiba Registration] - C:\Program Files\Toshiba\Registration\ToshibaReminder.exe [136136 2010-04-19] (Toshiba Europe GmbH) HKLM\...\Run: [TPwrMain] - C:\Program Files\Toshiba\Power Saver\TPwrMain.exe [566184 2010-09-28] (TOSHIBA Corporation) HKLM\...\Run: [HSON] - C:\Program Files\Toshiba\TBS\HSON.exe [52600 2009-03-09] (TOSHIBA Corporation) HKLM\...\Run: [SmoothView] - C:\Program Files\Toshiba\SmoothView\SmoothView.exe [570680 2009-08-13] (TOSHIBA Corporation) HKLM\...\Run: [00TCrdMain] - C:\Program Files\Toshiba\FlashCards\TCrdMain.exe [915320 2010-05-10] (TOSHIBA Corporation) HKCU\...\Run: [OfficeSyncProcess] - C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE [720064 2013-04-22] (Microsoft Corporation) HKCU\...\Run: [safa7_22] - C:\Users\Toshiba\AppData\Roaming\safa7_22.vbs [0 2013-10-07] () HKCU\...\Run: [swg] - C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2010-12-13] (Google Inc.) HKCU\...\Run: [ciizgfaygg] - C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs [70199 2013-07-27] () <===== ATTENTION HKLM-x32\...\Run: [SVPWUTIL] - C:\Program Files (x86)\TOSHIBA\Utilities\SVPWUTIL.exe [352256 2010-02-22] (TOSHIBA) HKLM-x32\...\Run: [HWSetup] - C:\Program Files\Toshiba\Utilities\HWSetup.exe [423936 2010-03-04] (TOSHIBA Electronics, Inc.) HKLM-x32\...\Run: [KeNotify] - C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe [34160 2009-12-25] (TOSHIBA CORPORATION) HKLM-x32\...\Run: [ITSecMng] - C:\Program Files (x86)\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe [83336 2009-07-22] (TOSHIBA CORPORATION) HKLM-x32\...\Run: [TRCMan] - C:\Program Files (x86)\TOSHIBA\TRCMan\TRCMan.exe [701752 2009-07-21] (TOSHIBA Corporation) HKLM-x32\...\Run: [TWebCamera] - C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe [2454840 2010-02-24] (TOSHIBA CORPORATION.) HKLM-x32\...\Run: [] - [x] HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated) HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [683576 2013-11-19] (Avira Operations GmbH & Co. KG) HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKU\Default\...\Run: [TOSHIBA Online Product Information] - C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\TOPI.exe [4581280 2010-03-03] (TOSHIBA) Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk ShortcutTarget: TRDCReminder.lnk -> C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe) Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk ShortcutTarget: TRDCReminder.lnk -> C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe) Startup: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs () BootExecute: autocheck autochk * sdnclean64.exe ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/ URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {727B7DD5-C094-4D23-A9D7-0DDA240E4489} URL = hxxp://search.ividi.org/?q={searchTerms}&src=tbsp&id=a853117d00000000000088ae1d50dffa&affilt=3&r=979 SearchScopes: HKCU - {08A059CE-029C-425B-A390-4DB3FF42A2F7} URL = SearchScopes: HKCU - {1693C2F3-4930-41AF-89F1-F1557E974FCC} URL = hxxp://rover.ebay.com/rover/1/707-44556-9400-9/4?satitle={searchTerms} SearchScopes: HKCU - {2A9BD6BD-DDF2-4ED9-90E5-74B18360C039} URL = SearchScopes: HKCU - {727B7DD5-C094-4D23-A9D7-0DDA240E4489} URL = hxxp://search.ividi.org/?q={searchTerms}&src=tbsp&id=a853117d00000000000088ae1d50dffa&affilt=3&r=979 SearchScopes: HKCU - {AE9B2183-80F6-44E4-B4FB-0019E2630828} URL = hxxp://www.amazon.de/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibade-win7-ie-search-21&index=blended&linkCode=ur2 BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation) BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation) BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} - No File BHO-x32: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation) BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation) BHO-x32: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) BHO-x32: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation) BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) BHO-x32: TOSHIBA Media Controller Plug-in - {F3C88694-EFFA-4d78-B409-54B7B2535B14} - C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\TOSHIBAMediaControllerIE.dll (<TOSHIBA>) Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) Toolbar: HKCU - Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: HKLM-x32 {C345E174-3E87-4F41-A01C-B066A90A49B4} hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation) Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation) Handler-x32: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.178.1 Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION CHR Extension: (iVidi Chrome Toolbar) - C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\default\extensions\kpdhgpkkloealnjnmepfhanpcleldbef\1.0_0 CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx ==================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-11-19] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-11-19] (Avira Operations GmbH & Co. KG) S4 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [1164360 2013-11-19] (Avira Operations GmbH & Co. KG) R2 MBAMScheduler; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation) S2 MBAMService; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation) S3 TemproMonitoringService; C:\Program Files (x86)\Toshiba TEMPRO\TemproSvc.exe [124368 2010-02-11] (Toshiba Europe GmbH) ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [107416 2013-12-03] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132600 2013-11-19] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-11-19] (Avira Operations GmbH & Co. KG) R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [25928 2013-04-04] (Malwarebytes Corporation) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-12-23] () U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 cpuz132; \??\C:\Users\Toshiba\AppData\Local\Temp\cpuz132\cpuz132_x64.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-12-14 13:26 - 2013-12-14 13:26 - 00015887 _____ C:\Users\Toshiba\Desktop\FRST.txt 2013-12-14 13:25 - 2013-12-14 13:26 - 01927746 _____ (Farbar) C:\Users\Toshiba\Desktop\FRST64.exe 2013-12-13 14:23 - 2013-05-10 06:56 - 14631424 _____ (Microsoft Corporation) C:\windows\system32\wmp.dll 2013-12-13 14:23 - 2013-05-10 06:56 - 12625920 _____ (Microsoft Corporation) C:\windows\system32\wmploc.DLL 2013-12-13 14:23 - 2013-05-10 05:56 - 12625408 _____ (Microsoft Corporation) C:\windows\SysWOW64\wmploc.DLL 2013-12-13 14:23 - 2013-05-10 05:56 - 11410432 _____ (Microsoft Corporation) C:\windows\SysWOW64\wmp.dll 2013-12-13 14:22 - 2013-10-25 07:19 - 02241536 _____ (Microsoft Corporation) C:\windows\system32\wininet.dll 2013-12-13 14:22 - 2013-10-25 07:19 - 01365504 _____ (Microsoft Corporation) C:\windows\system32\urlmon.dll 2013-12-13 14:22 - 2013-10-25 07:19 - 00051712 _____ (Microsoft Corporation) C:\windows\system32\ie4uinit.exe 2013-12-13 14:22 - 2013-10-25 07:18 - 19271168 _____ (Microsoft Corporation) C:\windows\system32\mshtml.dll 2013-12-13 14:22 - 2013-10-25 07:18 - 00603136 _____ (Microsoft Corporation) C:\windows\system32\msfeeds.dll 2013-12-13 14:22 - 2013-10-25 07:17 - 15404032 _____ (Microsoft Corporation) C:\windows\system32\ieframe.dll 2013-12-13 14:22 - 2013-10-25 07:17 - 03959808 _____ (Microsoft Corporation) C:\windows\system32\jscript9.dll 2013-12-13 14:22 - 2013-10-25 07:17 - 02648576 _____ (Microsoft Corporation) C:\windows\system32\iertutil.dll 2013-12-13 14:22 - 2013-10-25 07:17 - 00855552 _____ (Microsoft Corporation) C:\windows\system32\jscript.dll 2013-12-13 14:22 - 2013-10-25 07:17 - 00526336 _____ (Microsoft Corporation) C:\windows\system32\ieui.dll 2013-12-13 14:22 - 2013-10-25 07:17 - 00136704 _____ (Microsoft Corporation) C:\windows\system32\iesysprep.dll 2013-12-13 14:22 - 2013-10-25 07:17 - 00067072 _____ (Microsoft Corporation) C:\windows\system32\iesetup.dll 2013-12-13 14:22 - 2013-10-25 07:17 - 00053248 _____ (Microsoft Corporation) C:\windows\system32\jsproxy.dll 2013-12-13 14:22 - 2013-10-25 07:17 - 00039936 _____ (Microsoft Corporation) C:\windows\system32\iernonce.dll 2013-12-13 14:22 - 2013-10-25 05:45 - 01767936 _____ (Microsoft Corporation) C:\windows\SysWOW64\wininet.dll 2013-12-13 14:22 - 2013-10-25 05:44 - 14356992 _____ (Microsoft Corporation) C:\windows\SysWOW64\mshtml.dll 2013-12-13 14:22 - 2013-10-25 05:44 - 01140736 _____ (Microsoft Corporation) C:\windows\SysWOW64\urlmon.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 13761536 _____ (Microsoft Corporation) C:\windows\SysWOW64\ieframe.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 02877952 _____ (Microsoft Corporation) C:\windows\SysWOW64\jscript9.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 02049024 _____ (Microsoft Corporation) C:\windows\SysWOW64\iertutil.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 00690688 _____ (Microsoft Corporation) C:\windows\SysWOW64\jscript.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 00493056 _____ (Microsoft Corporation) C:\windows\SysWOW64\msfeeds.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 00391168 _____ (Microsoft Corporation) C:\windows\SysWOW64\ieui.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 00109056 _____ (Microsoft Corporation) C:\windows\SysWOW64\iesysprep.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 00061440 _____ (Microsoft Corporation) C:\windows\SysWOW64\iesetup.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 00039424 _____ (Microsoft Corporation) C:\windows\SysWOW64\jsproxy.dll 2013-12-13 14:22 - 2013-10-25 05:43 - 00033280 _____ (Microsoft Corporation) C:\windows\SysWOW64\iernonce.dll 2013-12-13 14:22 - 2013-10-25 05:07 - 02706432 _____ (Microsoft Corporation) C:\windows\system32\mshtml.tlb 2013-12-13 14:22 - 2013-10-25 04:41 - 02706432 _____ (Microsoft Corporation) C:\windows\SysWOW64\mshtml.tlb 2013-12-13 14:22 - 2013-10-25 04:17 - 00089600 _____ (Microsoft Corporation) C:\windows\system32\RegisterIEPKEYs.exe 2013-12-13 14:22 - 2013-10-25 03:49 - 00071680 _____ (Microsoft Corporation) C:\windows\SysWOW64\RegisterIEPKEYs.exe 2013-12-12 21:40 - 2013-11-12 03:23 - 00002048 _____ (Microsoft Corporation) C:\windows\system32\tzres.dll 2013-12-12 21:40 - 2013-11-12 03:07 - 00002048 _____ (Microsoft Corporation) C:\windows\SysWOW64\tzres.dll 2013-12-12 21:03 - 2013-10-30 02:24 - 03155968 _____ (Microsoft Corporation) C:\windows\system32\win32k.sys 2013-12-12 20:47 - 2013-10-19 03:18 - 00081408 _____ (Microsoft Corporation) C:\windows\system32\imagehlp.dll 2013-12-12 20:47 - 2013-10-19 02:36 - 00159232 _____ (Microsoft Corporation) C:\windows\SysWOW64\imagehlp.dll 2013-12-12 20:28 - 2013-10-30 03:32 - 00335360 _____ (Microsoft Corporation) C:\windows\system32\msieftp.dll 2013-12-12 20:28 - 2013-10-30 03:19 - 00301568 _____ (Microsoft Corporation) C:\windows\SysWOW64\msieftp.dll 2013-12-12 20:18 - 2013-11-23 19:26 - 00417792 _____ (Microsoft Corporation) C:\windows\SysWOW64\WMPhoto.dll 2013-12-12 20:18 - 2013-11-23 18:47 - 00465920 _____ (Microsoft Corporation) C:\windows\system32\WMPhoto.dll 2013-12-12 20:17 - 2013-10-04 03:16 - 00116736 _____ (Microsoft Corporation) C:\windows\system32\Drivers\drmk.sys 2013-12-12 20:17 - 2013-10-04 02:36 - 00230400 _____ (Microsoft Corporation) C:\windows\system32\Drivers\portcls.sys 2013-12-12 20:09 - 2013-10-12 03:32 - 00150016 _____ (Microsoft Corporation) C:\windows\system32\wshom.ocx 2013-12-12 20:09 - 2013-10-12 03:31 - 00202752 _____ (Microsoft Corporation) C:\windows\system32\scrrun.dll 2013-12-12 20:09 - 2013-10-12 03:04 - 00121856 _____ (Microsoft Corporation) C:\windows\SysWOW64\wshom.ocx 2013-12-12 20:09 - 2013-10-12 03:03 - 00163840 _____ (Microsoft Corporation) C:\windows\SysWOW64\scrrun.dll 2013-12-12 20:09 - 2013-10-12 02:33 - 00168960 _____ (Microsoft Corporation) C:\windows\system32\wscript.exe 2013-12-12 20:09 - 2013-10-12 02:33 - 00156160 _____ (Microsoft Corporation) C:\windows\system32\cscript.exe 2013-12-12 20:09 - 2013-10-12 02:15 - 00141824 _____ (Microsoft Corporation) C:\windows\SysWOW64\wscript.exe 2013-12-12 20:09 - 2013-10-12 02:15 - 00126976 _____ (Microsoft Corporation) C:\windows\SysWOW64\cscript.exe 2013-11-20 17:14 - 2013-11-20 17:14 - 00000000 ____D C:\ProgramData\Oracle 2013-11-20 17:12 - 2013-11-20 17:12 - 00264616 _____ (Oracle Corporation) C:\windows\SysWOW64\javaws.exe 2013-11-20 17:12 - 2013-11-20 17:12 - 00096168 _____ (Oracle Corporation) C:\windows\SysWOW64\WindowsAccessBridge-32.dll 2013-11-18 15:44 - 2013-11-25 11:00 - 00000000 ____D C:\Users\Toshiba\Desktop\Ideen 2013-11-14 14:25 - 2013-09-25 03:26 - 00154560 _____ (Microsoft Corporation) C:\windows\system32\Drivers\ksecpkg.sys 2013-11-14 14:25 - 2013-09-25 03:26 - 00095680 _____ (Microsoft Corporation) C:\windows\system32\Drivers\ksecdd.sys 2013-11-14 14:25 - 2013-09-25 03:23 - 00135680 _____ (Microsoft Corporation) C:\windows\system32\sspicli.dll 2013-11-14 14:25 - 2013-09-25 03:23 - 00028672 _____ (Microsoft Corporation) C:\windows\system32\sspisrv.dll 2013-11-14 14:25 - 2013-09-25 03:23 - 00028160 _____ (Microsoft Corporation) C:\windows\system32\secur32.dll 2013-11-14 14:25 - 2013-09-25 03:22 - 00340992 _____ (Microsoft Corporation) C:\windows\system32\schannel.dll 2013-11-14 14:25 - 2013-09-25 03:21 - 01447936 _____ (Microsoft Corporation) C:\windows\system32\lsasrv.dll 2013-11-14 14:25 - 2013-09-25 03:21 - 00307200 _____ (Microsoft Corporation) C:\windows\system32\ncrypt.dll 2013-11-14 14:25 - 2013-09-25 02:58 - 00096768 _____ (Microsoft Corporation) C:\windows\SysWOW64\sspicli.dll 2013-11-14 14:25 - 2013-09-25 02:57 - 00247808 _____ (Microsoft Corporation) C:\windows\SysWOW64\schannel.dll 2013-11-14 14:25 - 2013-09-25 02:57 - 00022016 _____ (Microsoft Corporation) C:\windows\SysWOW64\secur32.dll 2013-11-14 14:25 - 2013-09-25 02:56 - 00220160 _____ (Microsoft Corporation) C:\windows\SysWOW64\ncrypt.dll 2013-11-14 14:25 - 2013-09-25 02:03 - 00030720 _____ (Microsoft Corporation) C:\windows\system32\lsass.exe 2013-11-14 14:25 - 2013-07-04 13:18 - 00458712 _____ (Microsoft Corporation) C:\windows\system32\Drivers\cng.sys 2013-11-14 13:46 - 2013-10-05 21:25 - 01474048 _____ (Microsoft Corporation) C:\windows\system32\crypt32.dll 2013-11-14 13:46 - 2013-10-05 20:57 - 01168384 _____ (Microsoft Corporation) C:\windows\SysWOW64\crypt32.dll 2013-11-14 13:16 - 2013-10-04 03:28 - 00190464 _____ (Microsoft Corporation) C:\windows\system32\SmartcardCredentialProvider.dll 2013-11-14 13:16 - 2013-10-04 03:25 - 00197120 _____ (Microsoft Corporation) C:\windows\system32\credui.dll 2013-11-14 13:16 - 2013-10-04 03:24 - 01930752 _____ (Microsoft Corporation) C:\windows\system32\authui.dll 2013-11-14 13:16 - 2013-10-04 02:58 - 00152576 _____ (Microsoft Corporation) C:\windows\SysWOW64\SmartcardCredentialProvider.dll 2013-11-14 13:16 - 2013-10-04 02:56 - 01796096 _____ (Microsoft Corporation) C:\windows\SysWOW64\authui.dll 2013-11-14 13:16 - 2013-10-04 02:56 - 00168960 _____ (Microsoft Corporation) C:\windows\SysWOW64\credui.dll 2013-11-14 13:16 - 2013-09-28 02:09 - 00497152 _____ (Microsoft Corporation) C:\windows\system32\Drivers\afd.sys 2013-11-14 12:23 - 2013-10-12 03:30 - 00830464 _____ (Microsoft Corporation) C:\windows\system32\nshwfp.dll 2013-11-14 12:23 - 2013-10-12 03:29 - 00859648 _____ (Microsoft Corporation) C:\windows\system32\IKEEXT.DLL 2013-11-14 12:23 - 2013-10-12 03:29 - 00324096 _____ (Microsoft Corporation) C:\windows\system32\FWPUCLNT.DLL 2013-11-14 12:23 - 2013-10-12 03:03 - 00656896 _____ (Microsoft Corporation) C:\windows\SysWOW64\nshwfp.dll 2013-11-14 12:23 - 2013-10-12 03:01 - 00216576 _____ (Microsoft Corporation) C:\windows\SysWOW64\FWPUCLNT.DLL 2013-11-14 12:23 - 2013-10-03 03:23 - 00404480 _____ (Microsoft Corporation) C:\windows\system32\gdi32.dll 2013-11-14 12:23 - 2013-10-03 03:00 - 00311808 _____ (Microsoft Corporation) C:\windows\SysWOW64\gdi32.dll ==================== One Month Modified Files and Folders ======= 2013-12-14 13:27 - 2013-12-14 13:26 - 00015887 _____ C:\Users\Toshiba\Desktop\FRST.txt 2013-12-14 13:26 - 2013-12-14 13:25 - 01927746 _____ (Farbar) C:\Users\Toshiba\Desktop\FRST64.exe 2013-12-14 12:57 - 2012-09-24 17:46 - 00000884 _____ C:\windows\Tasks\Adobe Flash Player Updater.job 2013-12-14 12:48 - 2010-12-13 16:43 - 00001112 _____ C:\windows\Tasks\GoogleUpdateTaskMachineUA.job 2013-12-14 12:24 - 2009-07-14 05:45 - 00016080 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2013-12-14 12:24 - 2009-07-14 05:45 - 00016080 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2013-12-14 12:18 - 2010-12-13 16:43 - 00000000 ____D C:\Users\Toshiba\AppData\Local\Google 2013-12-14 12:16 - 2010-12-13 16:43 - 00001108 _____ C:\windows\Tasks\GoogleUpdateTaskMachineCore.job 2013-12-14 12:15 - 2009-07-14 06:08 - 00000006 ____H C:\windows\Tasks\SA.DAT 2013-12-14 12:15 - 2009-07-14 05:51 - 00200542 _____ C:\windows\setupact.log 2013-12-14 10:00 - 2010-07-18 12:54 - 01137461 _____ C:\windows\WindowsUpdate.log 2013-12-14 00:23 - 2012-03-10 14:28 - 00003954 _____ C:\windows\System32\Tasks\User_Feed_Synchronization-{AB0334C5-6282-41F4-9B68-A22855822001} 2013-12-13 18:26 - 2010-09-26 21:08 - 00000000 ____D C:\Users\Toshiba\Desktop\Sebastian 2013-12-13 18:25 - 2012-10-30 18:50 - 00000000 ____D C:\Users\Toshiba\Desktop\Namibia 2013-12-13 16:51 - 2009-07-14 06:09 - 00000000 ____D C:\windows\System32\Tasks\WPD 2013-12-13 16:44 - 2010-09-23 14:34 - 00000000 ____D C:\Users\Toshiba\AppData\Roaming\Skype 2013-12-13 15:50 - 2010-05-05 22:05 - 00000000 ___RD C:\Program Files (x86)\Skype 2013-12-13 15:50 - 2010-05-05 22:05 - 00000000 ____D C:\ProgramData\Skype 2013-12-13 14:22 - 2010-05-05 22:12 - 00000000 ____D C:\ProgramData\Microsoft Help 2013-12-13 10:37 - 2009-07-14 18:58 - 00654852 _____ C:\windows\system32\perfh007.dat 2013-12-13 10:37 - 2009-07-14 18:58 - 00130434 _____ C:\windows\system32\perfc007.dat 2013-12-13 10:37 - 2009-07-14 06:13 - 01500294 _____ C:\windows\system32\PerfStringBackup.INI 2013-12-13 06:42 - 2010-12-13 16:43 - 00004108 _____ C:\windows\System32\Tasks\GoogleUpdateTaskMachineUA 2013-12-13 06:42 - 2010-12-13 16:43 - 00003856 _____ C:\windows\System32\Tasks\GoogleUpdateTaskMachineCore 2013-12-13 06:12 - 2009-07-14 05:45 - 00445056 _____ C:\windows\system32\FNTCACHE.DAT 2013-12-12 22:50 - 2010-08-31 08:32 - 00000000 ___RD C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2013-12-03 20:57 - 2013-07-21 11:14 - 00000000 ____D C:\Users\Toshiba\AppData\Roaming\Dropbox 2013-12-03 20:56 - 2013-07-21 11:16 - 00000000 ___RD C:\Users\Toshiba\Dropbox 2013-12-03 20:55 - 2009-07-14 06:08 - 00032640 _____ C:\windows\Tasks\SCHEDLGU.TXT 2013-12-03 12:22 - 2013-08-15 10:38 - 00107416 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avgntflt.sys 2013-12-03 10:46 - 2013-08-13 20:50 - 00000000 ____D C:\Program Files (x86)\Mobile Partner 2013-12-02 18:34 - 2013-10-07 06:35 - 00000000 ____D C:\AdwCleaner 2013-12-01 14:12 - 2011-01-19 19:09 - 00000000 ____D C:\Users\Toshiba\AppData\Roaming\dvdcss 2013-11-28 12:21 - 2011-06-24 23:56 - 02241024 ___SH C:\Users\Toshiba\Desktop\Thumbs.db 2013-11-25 11:00 - 2013-11-18 15:44 - 00000000 ____D C:\Users\Toshiba\Desktop\Ideen 2013-11-23 19:26 - 2013-12-12 20:18 - 00417792 _____ (Microsoft Corporation) C:\windows\SysWOW64\WMPhoto.dll 2013-11-23 18:47 - 2013-12-12 20:18 - 00465920 _____ (Microsoft Corporation) C:\windows\system32\WMPhoto.dll 2013-11-21 09:18 - 2012-01-18 18:18 - 00000000 ____D C:\Users\Toshiba\Documents\Outlook-Dateien 2013-11-20 17:14 - 2013-11-20 17:14 - 00000000 ____D C:\ProgramData\Oracle 2013-11-20 17:12 - 2013-11-20 17:12 - 00264616 _____ (Oracle Corporation) C:\windows\SysWOW64\javaws.exe 2013-11-20 17:12 - 2013-11-20 17:12 - 00096168 _____ (Oracle Corporation) C:\windows\SysWOW64\WindowsAccessBridge-32.dll 2013-11-20 17:12 - 2013-06-20 16:07 - 00175016 _____ (Oracle Corporation) C:\windows\SysWOW64\javaw.exe 2013-11-20 17:12 - 2013-06-20 16:07 - 00174504 _____ (Oracle Corporation) C:\windows\SysWOW64\java.exe 2013-11-20 17:12 - 2010-09-09 14:38 - 00000000 ____D C:\Program Files (x86)\Java 2013-11-19 13:18 - 2013-08-15 10:39 - 00083160 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avnetflt.sys 2013-11-19 13:18 - 2013-08-15 10:38 - 00132600 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avipbb.sys 2013-11-19 13:18 - 2013-08-15 10:38 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avkmgr.sys 2013-11-17 11:34 - 2009-07-14 04:20 - 00000000 ____D C:\windows\system32\NDF 2013-11-14 23:38 - 2013-08-15 18:38 - 00000000 ____D C:\windows\system32\MRT 2013-11-14 23:35 - 2011-01-26 16:12 - 82896128 _____ (Microsoft Corporation) C:\windows\system32\MRT.exe 2013-11-14 09:27 - 2010-09-25 13:25 - 00000000 ____D C:\Users\Toshiba\AppData\Local\Microsoft Games Files to move or delete: ==================== C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs Some content of TEMP: ==================== C:\Users\Toshiba\AppData\Local\Temp\avgnt.exe C:\Users\Toshiba\AppData\Local\Temp\DataCard_Setup64.exe C:\Users\Toshiba\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe C:\Users\Toshiba\AppData\Local\Temp\ResetDevice.exe ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2013-10-21 11:28 ==================== End Of Log ============================ --- --- --- JRT: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.0.8 (11.05.2013:1) OS: Windows 7 Home Premium x64 Ran by Toshiba on 14.12.2013 at 14:46:49,15 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values ~~~ Registry Keys ~~~ Files ~~~ Folders ~~~ Event Viewer Logs were cleared ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 14.12.2013 at 14:54:31,00 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ AdwCleaner: AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v3.015 - Bericht erstellt am 14/12/2013 um 14:37:54 # Updated 10/12/2013 von Xplode # Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits) # Benutzername : Toshiba - TOSHIBA-TOSH # Gestartet von : C:\Users\Toshiba\Desktop\adwcleaner.exe # Option : Löschen ***** [ Dienste ] ***** ***** [ Dateien / Ordner ] ***** Ordner Gelöscht : C:\windows\installer\{86d4b82a-abed-442a-be86-96357b70f4fe} ***** [ Verknüpfungen ] ***** ***** [ Registrierungsdatenbank ] ***** Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\WLXQuickTimeShellExt.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\protector_dll.protectorbho Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31} Schlüssel Gelöscht : HKLM\Software\Uniblue ***** [ Browser ] ***** -\\ Internet Explorer v11.0.9600.16428 ************************* AdwCleaner[R0].txt - [6073 octets] - [07/10/2013 06:44:31] AdwCleaner[R1].txt - [1046 octets] - [02/12/2013 18:33:39] AdwCleaner[R2].txt - [1491 octets] - [14/12/2013 14:36:32] AdwCleaner[S0].txt - [5930 octets] - [07/10/2013 06:45:23] AdwCleaner[S1].txt - [1414 octets] - [14/12/2013 14:37:54] ########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1474 octets] ########## Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.12.12.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16736 Toshiba :: TOSHIBA-TOSH [Administrator] 13.12.2013 09:41:39 mbam-log-2013-12-13 (09-41-39).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 401055 Laufzeit: 1 Stunde(n), 55 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
15.12.2013, 19:38 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKCU\...\Run: [ciizgfaygg] - C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs [70199 2013-07-27] () <===== ATTENTION Startup: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs () C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs C:\Users\Toshiba\AppData\Local\Temp\avgnt.exe C:\Users\Toshiba\AppData\Local\Temp\DataCard_Setup64.exe C:\Users\Toshiba\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe C:\Users\Toshiba\AppData\Local\Temp\ResetDevice.exe Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
__________________ Logfiles bitte immer in CODE-Tags posten |
16.12.2013, 21:46 | #29 |
| Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Hallo Cosinus, erneut vielen Dank für deine Hilfe! Hier der Fixlog: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 16-12-2013 02 Ran by Toshiba at 2013-12-16 21:38:20 Run:3 Running from C:\Users\Toshiba\Desktop Boot Mode: Normal ============================================== Content of fixlist: ***************** HKCU\...\Run: [ciizgfaygg] - C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs [70199 2013-07-27] () <===== ATTENTION Startup: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs () C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs C:\Users\Toshiba\AppData\Local\Temp\avgnt.exe C:\Users\Toshiba\AppData\Local\Temp\DataCard_Setup64.exe C:\Users\Toshiba\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe C:\Users\Toshiba\AppData\Local\Temp\ResetDevice.exe ***************** HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\ciizgfaygg => Value deleted successfully. C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ciizgfaygg..vbs => Moved successfully. Could not move "C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs" => Scheduled to move on reboot. C:\Users\Toshiba\AppData\Local\Temp\avgnt.exe => Moved successfully. "C:\Users\Toshiba\AppData\Local\Temp\DataCard_Setup64.exe" => File/Directory not found. "C:\Users\Toshiba\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe" => File/Directory not found. "C:\Users\Toshiba\AppData\Local\Temp\ResetDevice.exe" => File/Directory not found. => Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2013-12-16 21:42:27)<= "C:\Users\Toshiba\AppData\Local\Temp\ciizgfaygg..vbs" => File could not move. ==== End of Fixlog ==== |
16.12.2013, 22:19 | #30 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 Malwarebytes Anti-Rootkit (MBAR) Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Safa7_22.vbs Datei versteckt Dateien und produziert Verknüpfungen in system32 |
appdata, autorun, computer, dateien, formatierung, laptop, musik, problem, programm, pup.optional.browsefox.a, pup.optional.installcore, safa7_22, start, stick, system, system32, toshiba, trojaner, usb, usb stick, vbs/dldr.agent.1438, windows |