Vista. Defender + Internet geht nicht mehr. Zaccess und Java Lamar gefunden.

Samsodong · 08.10.2013, 17:05

Hallo TrojanerBoard,

ich habe seit Sonntag Abend Probleme mit meinem Compi. Opera und IE gehen nicht mehr, nach dem Start kommt nichts mehr. Vista zeigt dann auch ein rotes Kreuz bei der Internetverbindung.

Das Kabel zum Router habe ich abgezogen.

Malwarebyte und Avira haben Schädlinge gefunden, außerdem kann ich Windows Defender nicht starten. Fehlermeldung:
Windows cannot access the device, path or file. You may not have the appropriate permissions to access the item.

Und jetzt brauche ich einen Profi, der mir hilft.

Vielen Dank schon mal im voraus.

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:49 on 07/10/2013 (Sir Ingo)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-10-2013
Ran by Sir Ingo (administrator) on SIRINGO-PC on 07-10-2013 21:50:55
Running from C:\Users\Sir Ingo\Desktop
Windows Vista (TM) Home Premium Service Pack 2 (X64) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(AMD) C:\Windows\system32\atiesrxx.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Check Point Software Technologies LTD) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe
(Check Point Software Technologies) C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(SUPERAntiSpyware.com) C:\Program Files (x86)\Festplatte\Superantispyware\SASCORE64.EXE
(Advanced Micro Devices, Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
(Creative Technology Ltd) C:\Program Files (x86)\Creative\Shared Files\CTDevSrv.exe
(Check Point Software Technologies) C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
(Google Inc.) C:\Program Files (x86)\Google\Update\1.3.21.153\GoogleCrashHandler.exe
(Google Inc.) C:\Program Files (x86)\Google\Update\1.3.21.153\GoogleCrashHandler64.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
() C:\Program Files\Tastatur Media Key\MagicKey.exe
(Creative Technology Ltd) C:\Program Files (x86)\Creative\Software Update 3\SoftAuto.exe
(SUPERAntiSpyware) C:\Program Files (x86)\Festplatte\Superantispyware\SUPERAntiSpyware.exe
(Check Point Software Technologies LTD) C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Microsoft Corporation) C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
(Microsoft Corporation) C:\Windows\SysWOW64\conime.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Windows Defender] - C:\Program Files\Windows Defender\MSASCui.exe [1584184 2008-01-21] ()
HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [8067616 2009-08-18] (Realtek Semiconductor)
HKLM\...\Run: [ISW] - C:\Program Files\CheckPoint\ZAForceField\ForceField.exe [1127592 2012-11-22] (Check Point Software Technologies)
HKCU\...\Run: [MagicKey] - C:\Program Files\Tastatur Media Key\MagicKey.exe [516608 2007-01-10] ()
HKCU\...\Run: [SoftAuto.exe] - C:\Program Files (x86)\Creative\Software Update 3\SoftAuto.exe [405504 2008-08-13] (Creative Technology Ltd)
HKCU\...\Run: [ISUSPM Startup] - C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe [221184 2005-02-17] (InstallShield Software Corporation)
HKCU\...\Run: [SUPERAntiSpyware] - C:\Program Files (x86)\Festplatte\Superantispyware\SUPERAntiSpyware.exe [6588144 2013-10-02] (SUPERAntiSpyware)
MountPoints2: G - G:\setup.exe
HKLM-x32\...\Run: [ATICustomerCare] - C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe [311296 2010-03-04] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe [40048 2007-05-11] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [641704 2012-07-04] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [ZoneAlarm] - C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe [73832 2013-03-27] (Check Point Software Technologies LTD)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [681032 2013-10-01] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation)
HKLM-x32\...\Run: [ISUSScheduler] - C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-02-17] (InstallShield Software Corporation)
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\postgres\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x9DD14FF97447CE01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&r=272
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&r=272
BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
BHO-x32: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files (x86)\Internet\Orbitdownloader\orbitcth.dll (Orbitdownloader.com)
BHO-x32: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Toolbar: HKLM-x32 - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Toolbar: HKCU - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Winsock: Catalog5 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9 01 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9 02 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9 03 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9 04 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9 05 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9 06 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9 07 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9 08 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9 09 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9 10 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog5-x64 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9-x64 01 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9-x64 02 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9-x64 03 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9-x64 04 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9-x64 05 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9-x64 06 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9-x64 07 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9-x64 08 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9-x64 09 mswsock.dll File Not found (Microsoft Corporation)
Winsock: Catalog9-x64 10 mswsock.dll File Not found (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_168.dll ()
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_8_800_168.dll ()
FF Plugin-x32: @checkpoint.com/FFApi - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll ()
FF Plugin-x32: @Google.com/GoogleEarthPlugin - C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin-x32: @java.com/DTPlugin,version=10.21.2 - C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.21.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Extension: ftd - C:\Users\Sir Ingo\AppData\Roaming\Mozilla\Firefox\profiles\extensions\ftd@ftd.com.xpi
FF HKLM\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF Extension: No Name - C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF HKLM-x32\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
FF Extension: ZoneAlarm Security Engine - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
FF HKLM-x32\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

==================== Services (Whitelisted) =================

R2 !SASCORE; C:\Program Files (x86)\Festplatte\Superantispyware\SASCORE64.EXE [143120 2013-05-23] (SUPERAntiSpyware.com)
R2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [361984 2012-07-04] (Advanced Micro Devices, Inc.)
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440392 2013-10-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440392 2013-10-01] (Avira Operations GmbH & Co. KG)
R2 CTDevice_Srv; C:\Program Files (x86)\Creative\Shared Files\CTDevSrv.exe [61440 2007-04-02] (Creative Technology Ltd)
S3 CTUPnPSv; C:\Program Files (x86)\Creative\Creative Centrale\CTUPnPSv.exe [64000 2008-05-21] (Creative Technology Ltd)
R2 IswSvc; C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe [828072 2012-11-22] (Check Point Software Technologies)
R2 vsmon; C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe [2447888 2013-03-27] (Check Point Software Technologies LTD)
S2 postgresql-8.4; C:/Program Files (x86)/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "D:/Hand" -w [x]
U4 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\   \...\???\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)

==================== Drivers (Whitelisted) ====================

R2 AODDriver4.1; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [53888 2012-03-05] (Advanced Micro Devices)
R2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [314016 2011-03-20] ()
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [105856 2013-10-01] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132600 2013-10-01] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-01] (Avira Operations GmbH & Co. KG)
S3 gdrv; C:\Windows\gdrv.sys [25640 2010-09-19] (Windows (R) Server 2003 DDK provider)
S3 gdrv; C:\Windows\gdrv.sys [25640 2010-09-19] (Windows (R) Server 2003 DDK provider)
R2 ISWKL; C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [33712 2012-11-22] (Check Point Software Technologies)
R2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [43680 2011-03-20] ()
S1 prodrv06; C:\Windows\SysWow64\drivers\prodrv06.sys [77184 2004-03-09] (Protection Technology)
S0 prohlp02; C:\Windows\SysWow64\drivers\prohlp02.sys [65504 2004-03-09] (Protection Technology)
S0 prosync1; C:\Windows\SysWow64\drivers\prosync1.sys [6944 2003-09-06] (Protection Technology)
R1 SASDIFSV; C:\Program Files (x86)\Festplatte\Superantispyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASDIFSV; C:\Program Files (x86)\Festplatte\Superantispyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files (x86)\Festplatte\Superantispyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files (x86)\Festplatte\Superantispyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S0 sfhlp01; C:\Windows\SysWow64\drivers\sfhlp01.sys [4832 2003-12-01] (Protection Technology)
S2 tandpl; C:\Windows\SysWow64\drivers\tandpl.sys [4736 2003-04-19] ()
R1 Vsdatant; C:\Windows\System32\DRIVERS\vsdatant.sys [443992 2012-12-13] (Check Point Software Technologies LTD)
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [x]
S0 prohlp02; System32\drivers\prohlp02.sys [x]
S0 prosync1; System32\drivers\prosync1.sys [x]
S0 sfhlp01; System32\drivers\sfhlp01.sys [x]
S2 tandpl; System32\drivers\tandpl.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-07 21:50 - 2013-10-07 21:50 - 00000000 ____D C:\FRST
2013-10-07 21:49 - 2013-10-07 21:49 - 00000478 _____ C:\Users\Sir Ingo\Desktop\defogger_disable.log
2013-10-07 21:49 - 2013-10-07 21:49 - 00000000 _____ C:\Users\Sir Ingo\defogger_reenable
2013-10-07 21:48 - 2013-10-07 21:48 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder
2013-10-07 21:48 - 2013-10-07 21:44 - 01954124 _____ (Farbar) C:\Users\Sir Ingo\Desktop\FRST64.exe
2013-10-07 21:48 - 2013-10-07 21:43 - 00050477 _____ C:\Users\Sir Ingo\Desktop\Defogger.exe
2013-10-07 21:48 - 2013-10-07 20:08 - 00377856 _____ C:\Users\Sir Ingo\Desktop\gmer_2.1.19163.exe
2013-10-06 22:34 - 2013-10-06 22:34 - 00002017 _____ C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\SUPERAntiSpyware.com
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-10-06 22:32 - 2013-10-06 22:32 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-10-06 21:00 - 2013-10-06 21:00 - 00005572 _____ C:\Users\aefaea\Documents\cc_20131006_210016.reg
2013-10-06 20:51 - 2013-10-06 20:55 - 00000732 _____ C:\Users\aefaea\AppData\Local\d3d9caps64.dat
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\Documents\My Digital Editions
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\AppData\Local\Adobe_Systems_Incorporate
2013-10-02 20:46 - 2013-10-07 21:22 - 00001836 _____ C:\Windows\Tasks\Plus-HD-2.2-firefoxinstaller.job
2013-10-02 20:46 - 2013-10-07 21:22 - 00001204 _____ C:\Windows\Tasks\Plus-HD-2.2-codedownloader.job
2013-10-02 20:46 - 2013-10-02 20:46 - 00004234 _____ C:\Windows\System32\Tasks\Plus-HD-2.2-codedownloader
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Cool_Mirage
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Program Files (x86)\Plus-HD-2.2
2013-09-30 20:46 - 2013-09-30 20:46 - 00002013 _____ C:\Users\Public\Desktop\Adobe Digital Editions 2.0.lnk
2013-09-30 19:59 - 2013-09-30 19:59 - 00001042 _____ C:\Users\Sir Ingo\Desktop\TREESIZE.lnk
2013-09-29 14:12 - 2013-09-29 14:12 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\IrfanView
2013-09-29 13:34 - 2013-09-29 13:34 - 00003044 _____ C:\Windows\System32\Tasks\{A4C3FB77-A51E-4046-970C-99C06E7FB587}
2013-09-28 23:05 - 2013-09-28 23:05 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\JAM Software
2013-09-20 19:46 - 2013-07-31 15:29 - 02312704 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-09-20 19:46 - 2013-07-31 15:20 - 01346560 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-09-20 19:46 - 2013-07-31 15:19 - 01392128 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-09-20 19:46 - 2013-07-31 15:18 - 01494528 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-09-20 19:46 - 2013-07-31 15:17 - 00237056 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-09-20 19:46 - 2013-07-31 15:16 - 00085504 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-09-20 19:46 - 2013-07-31 15:14 - 00173056 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-09-20 19:46 - 2013-07-31 15:13 - 00816640 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-09-20 19:46 - 2013-07-31 15:13 - 00599040 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2013-09-20 19:46 - 2013-07-31 15:11 - 00729088 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-09-20 19:46 - 2013-07-31 15:09 - 00096768 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-09-20 19:46 - 2013-07-31 15:08 - 02382848 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-09-20 19:46 - 2013-07-31 15:05 - 00248320 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-09-20 19:46 - 2013-07-31 12:00 - 01800704 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-09-20 19:46 - 2013-07-31 11:53 - 01104896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-09-20 19:46 - 2013-07-31 11:52 - 01427968 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-09-20 19:46 - 2013-07-31 11:52 - 01129472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-09-20 19:46 - 2013-07-31 11:51 - 00231936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-09-20 19:46 - 2013-07-31 11:49 - 00065024 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-09-20 19:46 - 2013-07-31 11:48 - 00717824 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-09-20 19:46 - 2013-07-31 11:48 - 00420864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-09-20 19:46 - 2013-07-31 11:48 - 00142848 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-09-20 19:46 - 2013-07-31 11:47 - 00607744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-09-20 19:46 - 2013-07-31 11:45 - 02382848 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-09-20 19:46 - 2013-07-31 11:45 - 00073216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-09-20 19:46 - 2013-07-31 11:42 - 00176640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-09-20 19:45 - 2013-08-08 04:03 - 02775552 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-09-20 19:45 - 2013-08-02 16:06 - 01706496 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-09-20 19:45 - 2013-08-02 06:09 - 01548288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WMVDECOD.DLL
2013-09-20 19:45 - 2013-07-31 16:17 - 17833472 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-09-20 19:45 - 2013-07-31 15:42 - 10926080 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-09-20 19:45 - 2013-07-31 15:11 - 02147840 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-09-20 19:45 - 2013-07-31 12:30 - 12335104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-09-20 19:45 - 2013-07-31 12:05 - 09738752 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-09-20 19:45 - 2013-07-31 11:46 - 01796096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-09-20 19:45 - 2013-07-16 11:25 - 00689152 _____ (Microsoft Corporation) C:\Windows\system32\themeui.dll
2013-09-20 19:45 - 2013-07-16 06:35 - 00615936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\themeui.dll
2013-09-13 16:02 - 2013-09-13 16:02 - 00002115 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-09-13 16:00 - 2013-10-07 21:22 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-09-13 16:00 - 2013-10-07 19:05 - 00001114 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-09-13 16:00 - 2013-10-06 16:00 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Google
2013-09-13 16:00 - 2013-10-06 16:00 - 00000000 ____D C:\Program Files (x86)\Google
2013-09-13 16:00 - 2013-09-13 16:00 - 00004110 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2013-09-13 16:00 - 2013-09-13 16:00 - 00003858 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore

==================== One Month Modified Files and Folders =======

2013-10-07 21:50 - 2013-10-07 21:50 - 00000000 ____D C:\FRST
2013-10-07 21:49 - 2013-10-07 21:49 - 00000478 _____ C:\Users\Sir Ingo\Desktop\defogger_disable.log
2013-10-07 21:49 - 2013-10-07 21:49 - 00000000 _____ C:\Users\Sir Ingo\defogger_reenable
2013-10-07 21:49 - 2010-08-04 19:32 - 00000000 ____D C:\Users\Sir Ingo
2013-10-07 21:49 - 2006-11-02 14:46 - 00769000 _____ C:\Windows\system32\PerfStringBackup.INI
2013-10-07 21:48 - 2013-10-07 21:48 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder
2013-10-07 21:44 - 2013-10-07 21:48 - 01954124 _____ (Farbar) C:\Users\Sir Ingo\Desktop\FRST64.exe
2013-10-07 21:43 - 2013-10-07 21:48 - 00050477 _____ C:\Users\Sir Ingo\Desktop\Defogger.exe
2013-10-07 21:30 - 2008-01-21 03:53 - 01896130 _____ C:\Windows\WindowsUpdate.log
2013-10-07 21:22 - 2013-10-02 20:46 - 00001836 _____ C:\Windows\Tasks\Plus-HD-2.2-firefoxinstaller.job
2013-10-07 21:22 - 2013-10-02 20:46 - 00001204 _____ C:\Windows\Tasks\Plus-HD-2.2-codedownloader.job
2013-10-07 21:22 - 2013-09-13 16:00 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-10-07 21:22 - 2006-11-02 17:42 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-07 21:22 - 2006-11-02 17:22 - 00003744 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-07 21:22 - 2006-11-02 17:22 - 00003744 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-07 20:08 - 2013-10-07 21:48 - 00377856 _____ C:\Users\Sir Ingo\Desktop\gmer_2.1.19163.exe
2013-10-07 19:44 - 2006-11-02 17:42 - 00032620 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-10-07 19:05 - 2013-09-13 16:00 - 00001114 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-10-06 23:12 - 2013-06-07 20:59 - 00012444 _____ C:\Windows\PFRO.log
2013-10-06 22:34 - 2013-10-06 22:34 - 00002017 _____ C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\SUPERAntiSpyware.com
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-10-06 22:34 - 2012-06-25 23:19 - 00000000 ____D C:\Program Files (x86)\Festplatte
2013-10-06 22:32 - 2013-10-06 22:32 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-10-06 22:31 - 2013-06-27 00:30 - 00003975 _____ C:\Windows\setupact.log
2013-10-06 21:34 - 2006-11-02 17:21 - 00232056 _____ C:\Windows\system32\FNTCACHE.DAT
2013-10-06 21:00 - 2013-10-06 21:00 - 00005572 _____ C:\Users\aefaea\Documents\cc_20131006_210016.reg
2013-10-06 20:55 - 2013-10-06 20:51 - 00000732 _____ C:\Users\aefaea\AppData\Local\d3d9caps64.dat
2013-10-06 20:17 - 2013-01-30 20:34 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\HoldemManager
2013-10-06 20:06 - 2012-06-22 23:08 - 00003706 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{48F17EDA-5149-4FF2-BA05-5AE15C050392}
2013-10-06 19:33 - 2010-08-04 19:32 - 00001460 _____ C:\Users\Sir Ingo\AppData\Local\d3d9caps64.dat
2013-10-06 16:00 - 2013-09-13 16:00 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Google
2013-10-06 16:00 - 2013-09-13 16:00 - 00000000 ____D C:\Program Files (x86)\Google
2013-10-03 17:59 - 2012-06-02 18:40 - 00000000 ____D C:\Users\Public\Documents\STALKER-SHOC
2013-10-03 14:45 - 2012-07-14 12:00 - 00000000 ____D C:\Users\Sir Ingo\.umplayer
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\Documents\My Digital Editions
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\AppData\Local\Adobe_Systems_Incorporate
2013-10-02 20:46 - 2013-10-02 20:46 - 00004234 _____ C:\Windows\System32\Tasks\Plus-HD-2.2-codedownloader
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Cool_Mirage
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Program Files (x86)\Plus-HD-2.2
2013-10-02 20:46 - 2013-03-13 15:33 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\Mozilla
2013-10-01 11:37 - 2013-06-26 20:29 - 00132600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2013-10-01 11:37 - 2013-06-26 20:29 - 00105856 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2013-10-01 11:37 - 2013-06-26 20:29 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys
2013-09-30 20:46 - 2013-09-30 20:46 - 00002013 _____ C:\Users\Public\Desktop\Adobe Digital Editions 2.0.lnk
2013-09-30 19:59 - 2013-09-30 19:59 - 00001042 _____ C:\Users\Sir Ingo\Desktop\TREESIZE.lnk
2013-09-29 14:12 - 2013-09-29 14:12 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\IrfanView
2013-09-29 13:43 - 2010-08-05 19:01 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2013-09-29 13:34 - 2013-09-29 13:34 - 00003044 _____ C:\Windows\System32\Tasks\{A4C3FB77-A51E-4046-970C-99C06E7FB587}
2013-09-28 23:05 - 2013-09-28 23:05 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\JAM Software
2013-09-27 20:01 - 2013-01-06 16:13 - 00000000 ____D C:\Users\Sir Ingo\Desktop\Filme Musik Massage
2013-09-23 19:49 - 2012-06-23 19:36 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-09-23 19:49 - 2012-06-23 19:36 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-09-23 19:49 - 2011-04-14 23:06 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Adobe
2013-09-20 19:49 - 2013-07-23 13:23 - 00000000 ____D C:\Windows\system32\MRT
2013-09-20 19:46 - 2006-11-02 14:35 - 79143768 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-09-13 16:02 - 2013-09-13 16:02 - 00002115 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-09-13 16:00 - 2013-09-13 16:00 - 00004110 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2013-09-13 16:00 - 2013-09-13 16:00 - 00003858 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore

ZeroAccess:
C:\Windows\assembly\GAC_32\Desktop.ini

ZeroAccess:
C:\Windows\assembly\GAC_64\Desktop.ini

Files to move or delete:
====================
C:\Users\Sir Ingo\AppData\Roaming\skype.ini
ZeroAccess:
C:\Users\Sir Ingo\AppData\Local\Google\Desktop\Install
ZeroAccess:
C:\Program Files (x86)\Google\Desktop\Install
C:\ProgramData\0tbpw.pad


Some content of TEMP:
====================
C:\Users\aefaea\AppData\Local\Temp\avgnt.exe
C:\Users\Ingo\AppData\Local\Temp\vd2kuqt2.dll
C:\Users\Internet\AppData\Local\Temp\avgnt.exe
C:\Users\Sir Ingo\AppData\Local\Temp\AskSLib.dll
C:\Users\Sir Ingo\AppData\Local\Temp\avgnt.exe
C:\Users\Sir Ingo\AppData\Local\Temp\BackupSetup.exe
C:\Users\Sir Ingo\AppData\Local\Temp\drm_dialogs.dll
C:\Users\Sir Ingo\AppData\Local\Temp\MixiDJToolbar_yh.exe
C:\Users\Sir Ingo\AppData\Local\Temp\Uninstall.exe
C:\Users\Sir Ingo\AppData\Local\Temp\_is2349.exe
C:\Users\Sir Ingo\AppData\Local\Temp\_is4950.exe
C:\Users\Sir Ingo\AppData\Local\Temp\_is707E.exe
C:\Users\Sir Ingo\AppData\Local\Temp\_is9202.exe
C:\Users\Sir Ingo\AppData\Local\Temp\_is95BA.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender


LastRegBack: 2013-10-07 21:33

==================== End Of Log ============================

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 02-10-2013
Ran by Sir Ingo at 2013-10-07 21:51:55
Running from C:\Users\Sir Ingo\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Avira Desktop (Enabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AS: Avira Desktop (Enabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: ZoneAlarm Free Firewall Firewall (Enabled) {E6380B7E-D4B2-19F1-083E-56486607704B}

==================== Installed Programs ======================

7-Zip 9.20 (x32)
Adobe Digital Editions 2.0 (x32 Version: 2.0.1)
Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.168)
Adobe Reader 8.1.0 - Deutsch (x32 Version: 8.1.0)
AMD APP SDK Runtime (Version: 10.0.937.2)
AMD Catalyst Install Manager (Version: 8.0.877.0)
AMD Fuel (Version: 2012.0704.122.388)
AMD VISION Engine Control Center (x32 Version: 2012.0704.122.388)
ATI Catalyst Registration (x32 Version: 3.00.0000)
Auslogics Disk Defrag (x32 Version: version 3.4)
Avira Free Antivirus (x32 Version: 14.0.0.383)
BioShock (x32 Version: 2.62.0000)
CAM UnZip 4.5 (x32)
Catalyst Control Center - Branding (x32 Version: 1.00.0000)
Catalyst Control Center Graphics Previews Common (x32 Version: 2012.0704.122.388)
Catalyst Control Center InstallProxy (x32 Version: 2012.0704.122.388)
Catalyst Control Center Localization All (x32 Version: 2012.0704.122.388)
CCC Help Chinese Standard (x32 Version: 2012.0704.0121.388)
CCC Help Chinese Traditional (x32 Version: 2012.0704.0121.388)
CCC Help Czech (x32 Version: 2012.0704.0121.388)
CCC Help Danish (x32 Version: 2012.0704.0121.388)
CCC Help Dutch (x32 Version: 2012.0704.0121.388)
CCC Help English (x32 Version: 2012.0704.0121.388)
CCC Help Finnish (x32 Version: 2012.0704.0121.388)
CCC Help French (x32 Version: 2012.0704.0121.388)
CCC Help German (x32 Version: 2012.0704.0121.388)
CCC Help Greek (x32 Version: 2012.0704.0121.388)
CCC Help Hungarian (x32 Version: 2012.0704.0121.388)
CCC Help Italian (x32 Version: 2012.0704.0121.388)
CCC Help Japanese (x32 Version: 2012.0704.0121.388)
CCC Help Korean (x32 Version: 2012.0704.0121.388)
CCC Help Norwegian (x32 Version: 2012.0704.0121.388)
CCC Help Polish (x32 Version: 2012.0704.0121.388)
CCC Help Portuguese (x32 Version: 2012.0704.0121.388)
CCC Help Russian (x32 Version: 2012.0704.0121.388)
CCC Help Spanish (x32 Version: 2012.0704.0121.388)
CCC Help Swedish (x32 Version: 2012.0704.0121.388)
CCC Help Thai (x32 Version: 2012.0704.0121.388)
CCC Help Turkish (x32 Version: 2012.0704.0121.388)
ccc-utility64 (Version: 2012.0704.122.388)
CCleaner (Version: 4.02)
CD Bremse 1.49 (x32 Version: 1.49)
Command & Conquer Alarmstufe Rot 2 (x32)
Command && Conquer Alarmstufe Rot 2 - Yuris Rache (x32)
Creative Centrale (x32 Version: 1.19.02)
Creative Software Update (x32 Version: 1.03.01)
Creative ZEN X-Fi Style Dokumentation (x32)
DarthMod Ultimate Commander Edition (x32)
Das Geheimnis des silbernen Ohrrings (x32 Version: 0.0)
D-Fend Reloaded 1.3.3 (deinstallieren) (x32 Version: 1.3.3)
DMIView B8.0717.01 (x32 Version: 1.4)
Face_Wizard B09.0914.01 (x32 Version: 1.00.0000)
Free YouTube Download version 3.2.2.430 (x32 Version: 3.2.2.430)
Gemeinsam genutzte Internet-Komponenten von Westwood (x32)
Google Earth (x32 Version: 7.1.1.1888)
Google Update Helper (x32 Version: 1.3.21.153)
GT Legends (x32)
Holdem Manager 2
Imperialism II (x32)
IrfanView (remove only) (x32 Version: 4.36)
Java 7 Update 21 (x32 Version: 7.0.210)
Java Auto Updater (x32 Version: 2.1.9.5)
KigoVideoConverter 1.1.0 (x32)
Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300)
Media Key (x32 Version: 1.00.000)
Media Preview (Version: 1.2.5.264)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.59193)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (x32 Version: 9.0.30729)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (Version: 10.0.40219)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219)
Microsoft Visual J# .NET Redistributable Package 1.1 (x32 Version: 1.1.4322)
Monkey Island™ Special Edition Collection (x32 Version: 1.0.0.0)
MPC-HC 1.6.4.6052 (64-bit) (Version: 1.6.4.6052)
Need for Speed™ SHIFT (x32 Version: 1.0.0.0)
NVIDIA GAME System Software 2.8.1 (x32 Version: 2.8.1)
NVIDIA PhysX (x32 Version: 9.09.0720)
OpenAL (x32)
Opera 12.16 (x32 Version: 12.16.1860)
Orbit Downloader (x32)
Plus-HD-2.2 (x32 Version: 1.28.153.3)
PokerStars.eu (x32)
PokerStove version 1.24 (x32)
PostgreSQL 8.4 (x32 Version: 8.4)
Rails Across America (x32 Version: 1.0.0.75)
RarZilla Free Unrar (x32 Version: 4.80)
Realtek 8136 8168 8169 Ethernet Driver (x32 Version: 1.00.0007)
Realtek HDMI Audio Driver for ATI (x32 Version: 6.0.1.5897)
Realtek High Definition Audio Driver (x32 Version: 6.0.1.5919)
Regnum Coelis 1.1 Final (HKCU)
Rome - Total War - Gold Edition (x32 Version: 1.6)
S.T.A.L.K.E.R. - Shadow of Chernobyl [v1.0006] (x32 Version: 1.0006)
ScummVM 1.5.0 (x32)
Sid Meier's Civilization IV Colonization (x32 Version: 1.01)
Smart Recovery B09.0911.1  (x64) (Version: 1.00.0002)
Smart Recovery B09.0911.1  (x64) (x32 Version: )
SopCast 3.5.0 (x32 Version: 3.5.0)
Stalker Complete 2009 v1.4.4 (x32)
Steam (x32 Version: 1.0.0.0)
SUPERAntiSpyware (Version: 5.6.1040)
TreeSize Free V2.7 (x32 Version: 2.7)
UMPlayer 0.98 [Athlon] (x32 Version: 0.98)
Update for Microsoft .NET Framework 3.5 SP1 (KB2836940) (x32 Version: 1)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2468871) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2533523) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2600217) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2836939) (x32 Version: 1)
VC 9.0 Runtime (x32 Version: 1.0.0)
Winamp (x32 Version: 5.581 )
Winamp Erkennungs-Plug-in (HKCU Version: 1.0.0.1)
WinRAR 4.20 (64-Bit) (Version: 4.20.0)
WinUAE 2.4.1 (x32 Version: 2.4.1)
x64 Components v3.6.9 (Version: 3.6.9)
XIII (x32 Version: 1.00.000)
Zip Motion Block Video codec (Remove Only) (x32)
ZoneAlarm Firewall (x32 Version: 11.0.000.504)
ZoneAlarm Free Firewall (x32 Version: 11.0.000.504)
ZoneAlarm LTD Toolbar
ZoneAlarm Security (x32 Version: 11.0.000.504)

==================== Restore Points  =========================


==================== Hosts content: ==========================

2006-11-02 14:34 - 2006-09-18 23:37 - 00000761 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1       localhost
::1             localhost

==================== Scheduled Tasks (whitelisted) =============

Task: {0AEAFAF6-F116-4A60-AFB4-C8B755A6E975} - System32\Tasks\Microsoft\Windows\MobilePC\TMM
Task: {192DDA2D-5815-47B8-983F-65744FEEC03A} - System32\Tasks\Microsoft\Windows\Shell\CrawlStartPages
Task: {254095AE-FB97-48EA-94A5-D8BF2AB79714} - System32\Tasks\Microsoft\Windows\RAC\RACAgent => C:\Windows\system32\RacAgent.exe [2008-01-21] (Microsoft Corporation)
Task: {3FFF46EB-985A-4845-B748-1D7DD229800D} - System32\Tasks\CCleanerSkipUAC => C:\Program Files (x86)\Festplatte\CCleaner\CCleaner.exe [2013-05-24] (Piriform Ltd)
Task: {441C899D-7A76-486B-8972-A2605E46E1B5} - System32\Tasks\Plus-HD-2.2-firefoxinstaller => C:\Program Files (x86)\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe [2013-10-02] (Plus HD)
Task: {4E946E6C-49EC-4FD9-8F58-EB5AF1752C5D} - System32\Tasks\Microsoft\Windows\PLA\System\ConvertLogEntries => C:\Windows\system32\pla.dll [2008-01-21] (Microsoft Corporation)
Task: {5A1146AE-553A-4050-849F-4AF763E17F89} - System32\Tasks\Your File Updater => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe
Task: {71A3DB85-B5DD-4435-ABC4-8F5863E246EE} - System32\Tasks\Microsoft\Windows\SmartRecovery\SRFilter => C:\Windows\System32\CommCmd.dll [2009-05-25] ()
Task: {7843F10E-CD7D-461C-A9CF-64B6E8798AFF} - System32\Tasks\Plus-HD-2.2-codedownloader => C:\Program Files (x86)\Plus-HD-2.2\Plus-HD-2.2-codedownloader.exe [2013-10-02] (Plus HD)
Task: {7C638E5B-ECE5-4424-A7E5-2C913CA682E9} - System32\Tasks\Microsoft\Windows\NetworkAccessProtection\NAPStatus UI
Task: {BB412033-1DEC-4EF1-916C-E89978D587A6} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-09-13] (Google Inc.)
Task: {E91D6474-70CC-42BE-80FF-8BED8AF557ED} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => C:\Windows\system32\gatherWirelessInfo.vbs [2008-01-21] ()
Task: {F3C64EA8-6DF3-4EE9-9AC7-1D88496524FB} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-09-13] (Google Inc.)
Task: {FF4B464D-B493-4A72-BA1A-EDCCEC0147E8} - System32\Tasks\Microsoft\Windows\SmartRecovery\SRCreate => C:\Windows\System32\CommCmd.dll [2009-05-25] ()
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\Plus-HD-2.2-codedownloader.job => C:\Program Files (x86)\Plus-HD-2.2\Plus-HD-2.2-codedownloader.exe
Task: C:\Windows\Tasks\Plus-HD-2.2-firefoxinstaller.job => C:\Program Files (x86)\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe

==================== Loaded Modules (whitelisted) =============

2010-07-07 03:14 - 2012-07-04 07:09 - 00045056 _____ () C:\Windows\system32\atitmp64.dll
2010-08-05 20:18 - 2007-01-09 14:53 - 00047104 _____ () C:\Program Files\Tastatur Media Key\AudioDll.dll
2012-07-04 01:16 - 2012-07-04 01:16 - 00369152 _____ () C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLI.Aspect.CrossDisplay.Graphics.Dashboard.dll
2012-07-04 01:36 - 2012-07-04 01:36 - 00103424 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Proxy.Native.dll
2013-06-26 20:29 - 2013-06-26 20:28 - 00397704 _____ () C:\Program Files (x86)\Avira\AntiVir Desktop\sqlite3.dll

==================== Alternate Data Streams (whitelisted) =========

AlternateDataStreams: C:\ProgramData\TEMP:B0A96209

==================== Safe Mode (whitelisted) ===================

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vsmon => ""="Service"

==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (10/07/2013 09:52:28 PM) (Source: VSS) (User: )
Description: Volume Shadow Copy Service error: Unexpected error querying for the IVssWriterCallback interface.  hr = 0x80070005.
This is often caused by incorrect security settings in either the writer or requestor process.


Operation:
   Gathering Writer Data

Context:
   Writer Class Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Name: System Writer
   Writer Instance ID: {8158ee68-a330-4dfd-a535-97ba9a6d3dd2}

Error: (10/07/2013 09:27:48 PM) (Source: PostgreSQL) (User: )
Description: Timed out waiting for server startup

Error: (10/07/2013 09:22:46 PM) (Source: PostgreSQL) (User: )
Description: 2013-10-07 21:22:46 CEST FATAL:  konnte Shared-Memory-Segment nicht erzeugen: 8
2013-10-07 21:22:46 CEST DETAIL:  Fehlgeschlagener Systemaufruf war MapViewOfFileEx.

Error: (10/07/2013 03:56:20 PM) (Source: VSS) (User: )
Description: Volume Shadow Copy Service error: Unexpected error querying for the IVssWriterCallback interface.  hr = 0x80070005.
This is often caused by incorrect security settings in either the writer or requestor process.


Operation:
   Gathering Writer Data

Context:
   Writer Class Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Name: System Writer
   Writer Instance ID: {89c60e66-a420-498a-ba65-c46ef618776e}

Error: (10/07/2013 03:31:29 PM) (Source: PostgreSQL) (User: )
Description: Timed out waiting for server startup

Error: (10/07/2013 03:26:28 PM) (Source: PostgreSQL) (User: )
Description: 2013-10-07 15:26:28 CEST FATAL:  konnte Shared-Memory-Segment nicht erzeugen: 8
2013-10-07 15:26:28 CEST DETAIL:  Fehlgeschlagener Systemaufruf war MapViewOfFileEx.

Error: (10/07/2013 11:12:53 AM) (Source: VSS) (User: )
Description: Volume Shadow Copy Service error: Unexpected error querying for the IVssWriterCallback interface.  hr = 0x80070005.
This is often caused by incorrect security settings in either the writer or requestor process.


Operation:
   Gathering Writer Data

Context:
   Writer Class Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Name: System Writer
   Writer Instance ID: {a51900dc-828b-4cf3-a315-cbe48f7d3285}

Error: (10/07/2013 10:44:01 AM) (Source: PostgreSQL) (User: )
Description: Timed out waiting for server startup

Error: (10/07/2013 00:07:13 AM) (Source: VSS) (User: )
Description: Volume Shadow Copy Service error: Unexpected error querying for the IVssWriterCallback interface.  hr = 0x80070005.
This is often caused by incorrect security settings in either the writer or requestor process.


Operation:
   Gathering Writer Data

Context:
   Writer Class Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Name: System Writer
   Writer Instance ID: {1187a68d-7d35-4bdb-9497-efaf1f006a53}

Error: (10/06/2013 11:38:27 PM) (Source: PostgreSQL) (User: )
Description: Timed out waiting for server startup


System errors:
=============
Error: (10/07/2013 09:27:48 PM) (Source: Service Control Manager) (User: )
Description: i8042prt
prodrv06
prohlp02
prosync1
sfhlp01

Error: (10/07/2013 09:23:38 PM) (Source: Service Control Manager) (User: )
Description: IKE and AuthIP IPsec Keying ModulesBFE

Error: (10/07/2013 09:23:38 PM) (Source: Service Control Manager) (User: )
Description: Computer Browser%%1060

Error: (10/07/2013 09:22:35 PM) (Source: Application Popup) (User: )
Description: \SystemRoot\SysWow64\drivers\tandpl.sys has been blocked from loading due to incompatibility with this system. Please contact your software vendor for a compatible version of the driver.

Error: (10/07/2013 09:21:54 PM) (Source: volmgr) (User: )
Description: Configuring the Page file for crash dump failed. Make sure there is a page
file on the boot partition and that is large enough to contain all physical
memory.

Error: (10/07/2013 09:21:44 PM) (Source: Application Popup) (User: )
Description: \SystemRoot\SysWow64\drivers\prodrv06.sys has been blocked from loading due to incompatibility with this system. Please contact your software vendor for a compatible version of the driver.

Error: (10/07/2013 09:21:37 PM) (Source: volmgr) (User: )
Description: Configuring the Page file for crash dump failed. Make sure there is a page
file on the boot partition and that is large enough to contain all physical
memory.

Error: (10/07/2013 03:31:30 PM) (Source: Service Control Manager) (User: )
Description: i8042prt
prodrv06
prohlp02
prosync1
sfhlp01

Error: (10/07/2013 03:27:33 PM) (Source: Service Control Manager) (User: )
Description: IKE and AuthIP IPsec Keying ModulesBFE

Error: (10/07/2013 03:27:33 PM) (Source: Service Control Manager) (User: )
Description: Computer Browser%%1060


Microsoft Office Sessions:
=========================
Error: (10/07/2013 09:52:28 PM) (Source: VSS)(User: )
Description: 0x80070005

Operation:
   Gathering Writer Data

Context:
   Writer Class Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Name: System Writer
   Writer Instance ID: {8158ee68-a330-4dfd-a535-97ba9a6d3dd2}

Error: (10/07/2013 09:27:48 PM) (Source: PostgreSQL)(User: )
Description: Timed out waiting for server startup

Error: (10/07/2013 09:22:46 PM) (Source: PostgreSQL)(User: )
Description: 2013-10-07 21:22:46 CEST FATAL:  konnte Shared-Memory-Segment nicht erzeugen: 8
2013-10-07 21:22:46 CEST DETAIL:  Fehlgeschlagener Systemaufruf war MapViewOfFileEx.

Error: (10/07/2013 03:56:20 PM) (Source: VSS)(User: )
Description: 0x80070005

Operation:
   Gathering Writer Data

Context:
   Writer Class Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Name: System Writer
   Writer Instance ID: {89c60e66-a420-498a-ba65-c46ef618776e}

Error: (10/07/2013 03:31:29 PM) (Source: PostgreSQL)(User: )
Description: Timed out waiting for server startup

Error: (10/07/2013 03:26:28 PM) (Source: PostgreSQL)(User: )
Description: 2013-10-07 15:26:28 CEST FATAL:  konnte Shared-Memory-Segment nicht erzeugen: 8
2013-10-07 15:26:28 CEST DETAIL:  Fehlgeschlagener Systemaufruf war MapViewOfFileEx.

Error: (10/07/2013 11:12:53 AM) (Source: VSS)(User: )
Description: 0x80070005

Operation:
   Gathering Writer Data

Context:
   Writer Class Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Name: System Writer
   Writer Instance ID: {a51900dc-828b-4cf3-a315-cbe48f7d3285}

Error: (10/07/2013 10:44:01 AM) (Source: PostgreSQL)(User: )
Description: Timed out waiting for server startup

Error: (10/07/2013 00:07:13 AM) (Source: VSS)(User: )
Description: 0x80070005

Operation:
   Gathering Writer Data

Context:
   Writer Class Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Name: System Writer
   Writer Instance ID: {1187a68d-7d35-4bdb-9497-efaf1f006a53}

Error: (10/06/2013 11:38:27 PM) (Source: PostgreSQL)(User: )
Description: Timed out waiting for server startup


CodeIntegrity Errors:
===================================
  Date: 2013-10-07 10:49:47.979
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.

  Date: 2013-10-07 10:49:47.870
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.

  Date: 2013-10-07 10:49:47.761
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.

  Date: 2013-10-07 10:49:47.667
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.

  Date: 2013-10-07 10:49:47.527
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.

  Date: 2013-10-07 10:49:47.418
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.

  Date: 2013-10-06 20:45:05.623
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.

  Date: 2013-10-06 20:45:05.529
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.

  Date: 2013-10-06 20:45:05.436
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.

  Date: 2013-10-06 20:45:05.327
  Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume1\Program Files (x86)\CheckPoint\ZoneAlarm\drivers\vista_64\vsdatant.sys because the set of per-page image hashes could not be found on the system.


==================== Memory info =========================== 

Percentage of memory in use: 14%
Total physical RAM: 12285.57 MB
Available physical RAM: 10448.63 MB
Total Pagefile: 28315.59 MB
Available Pagefile: 26462.92 MB
Total Virtual: 8192 MB
Available Virtual: 8191.83 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:48.83 GB) (Free:2.18 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Spielekiste) (Fixed) (Total:117.19 GB) (Free:25.63 GB) NTFS
Drive e: () (Fixed) (Total:117.19 GB) (Free:9.88 GB) NTFS
Drive f: (Backup) (Fixed) (Total:182.56 GB) (Free:14.89 GB) NTFS
Drive h: (BOOT) (Fixed) (Total:92.79 GB) (Free:17.65 GB) NTFS
Drive i: (BACKUP) (Fixed) (Total:78.85 GB) (Free:1.31 GB) NTFS
Drive j: (RECOVER) (Fixed) (Total:14.66 GB) (Free:3.38 GB) FAT32
Drive k: () (Removable) (Total:3.73 GB) (Free:3.69 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 466 GB) (Disk ID: 597F67FE)
Partition 1: (Active) - (Size=49 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=117 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=117 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=183 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 186 GB) (Disk ID: EBD4EBD4)
Partition 1: (Active) - (Size=93 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=94 GB) - (Type=OF Extended)

========================================================
Disk: 2 (Size: 4 GB) (Disk ID: 6F20736B)
No partition Table on disk 2.
Disk 2 is a removable device.

==================== End Of Log ============================

Code:

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-10-07 22:15:55
Windows 6.0.6002 Service Pack 2 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 Hitachi_HDP725050GLA360 rev.GM4OA5CA 465,76GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\SIRING~1\AppData\Local\Temp\awtirfod.sys


---- Kernel code sections - GMER 2.1 ----

.text     C:\Windows\System32\win32k.sys!W32pServiceTable                                                                         fffff9600016f900 3 bytes [00, 83, 02]
.text     C:\Windows\System32\win32k.sys!W32pServiceTable + 4                                                                     fffff9600016f904 3 bytes [41, B7, FA]
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                        suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                        suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                        suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                        suspicious modification

---- Registry - GMER 2.1 ----

Reg       HKLM\SYSTEM\ControlSet002\Services\ (not active ControlSet)                                                             
Reg       HKLM\SYSTEM\ControlSet002\Services\@Parameters\0\x202e\x2764                                                            280
Reg       HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{5af60e44-acf4-4d45-9631-1b3c9a5e40fd}@Dhcpv6State  0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\                                                                                 
Reg       HKLM\SYSTEM\CurrentControlSet\Services\@Parameters\0\x202e\x2764                                                        280

---- EOF - GMER 2.1 ----

Code:

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.26.03

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Sir Ingo :: SIRINGO-PC [Administrator]

07.10.2013 23:08:24
MBAM-log-2013-10-07 (23-12-04).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 344870
Laufzeit: 3 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CurrentControlSet\Services\*etadpug (Trojan.Zaccess) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Tuesday, October 08, 2013  12:03


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SIRINGO-PC

Versionsinformationen:
BUILD.DAT      : 14.0.0.383     55392 Bytes  30.09.2013 11:01:00
AVSCAN.EXE     : 14.0.0.383    968776 Bytes  01.10.2013 09:37:33
AVSCANRC.DLL   : 14.0.0.225     62024 Bytes  01.10.2013 09:37:33
LUKE.DLL       : 14.0.0.383     65096 Bytes  01.10.2013 09:37:38
AVSCPLR.DLL    : 14.0.0.383     92232 Bytes  01.10.2013 09:37:33
AVREG.DLL      : 14.0.0.383    250440 Bytes  01.10.2013 09:37:33
avlode.dll     : 14.0.0.383    512584 Bytes  01.10.2013 09:37:33
avlode.rdf     : 13.0.1.42      26846 Bytes  28.08.2013 09:11:03
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 18:27:44
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 18:27:45
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 18:27:46
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 18:27:47
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 10:05:52
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 10:59:06
VBASE006.VDF   : 7.11.103.230  2293248 Bytes  24.09.2013 10:44:47
VBASE007.VDF   : 7.11.103.231     2048 Bytes  24.09.2013 10:44:47
VBASE008.VDF   : 7.11.103.232     2048 Bytes  24.09.2013 10:44:47
VBASE009.VDF   : 7.11.103.233     2048 Bytes  24.09.2013 10:44:47
VBASE010.VDF   : 7.11.103.234     2048 Bytes  24.09.2013 10:44:47
VBASE011.VDF   : 7.11.103.235     2048 Bytes  24.09.2013 10:44:47
VBASE012.VDF   : 7.11.103.236     2048 Bytes  24.09.2013 10:44:47
VBASE013.VDF   : 7.11.103.237     2048 Bytes  24.09.2013 10:44:47
VBASE014.VDF   : 7.11.104.123   282112 Bytes  26.09.2013 10:33:31
VBASE015.VDF   : 7.11.104.237   359424 Bytes  28.09.2013 16:03:30
VBASE016.VDF   : 7.11.105.103   195072 Bytes  02.10.2013 11:22:00
VBASE017.VDF   : 7.11.105.104     2048 Bytes  02.10.2013 11:22:00
VBASE018.VDF   : 7.11.105.105     2048 Bytes  02.10.2013 11:22:00
VBASE019.VDF   : 7.11.105.106     2048 Bytes  02.10.2013 11:22:00
VBASE020.VDF   : 7.11.105.107     2048 Bytes  02.10.2013 11:22:00
VBASE021.VDF   : 7.11.105.108     2048 Bytes  02.10.2013 11:22:00
VBASE022.VDF   : 7.11.105.109     2048 Bytes  02.10.2013 11:22:00
VBASE023.VDF   : 7.11.105.110     2048 Bytes  02.10.2013 11:22:00
VBASE024.VDF   : 7.11.105.111     2048 Bytes  02.10.2013 11:22:00
VBASE025.VDF   : 7.11.105.112     2048 Bytes  02.10.2013 11:22:01
VBASE026.VDF   : 7.11.105.113     2048 Bytes  02.10.2013 11:22:01
VBASE027.VDF   : 7.11.105.114     2048 Bytes  02.10.2013 11:22:01
VBASE028.VDF   : 7.11.105.115     2048 Bytes  02.10.2013 11:22:01
VBASE029.VDF   : 7.11.105.116     2048 Bytes  02.10.2013 11:22:01
VBASE030.VDF   : 7.11.105.117     2048 Bytes  02.10.2013 11:22:01
VBASE031.VDF   : 7.11.105.230   551936 Bytes  06.10.2013 10:40:27
Engineversion  : 8.2.12.126
AEVDF.DLL      : 8.1.3.4       102774 Bytes  26.06.2013 18:27:51
AESCRIPT.DLL   : 8.1.4.154     512382 Bytes  02.10.2013 17:22:11
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.06.2013 18:27:50
AESBX.DLL      : 8.2.16.26    1245560 Bytes  23.08.2013 12:22:11
AERDL.DLL      : 8.2.0.128     688504 Bytes  26.06.2013 18:27:50
AEPACK.DLL     : 8.3.2.30      749945 Bytes  02.10.2013 17:22:11
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes  08.08.2013 17:12:31
AEHEUR.DLL     : 8.1.4.676    6201722 Bytes  02.10.2013 17:22:11
AEHELP.DLL     : 8.1.27.6      266617 Bytes  27.08.2013 16:26:10
AEGEN.DLL      : 8.1.7.14      446839 Bytes  06.09.2013 09:00:06
AEEXP.DLL      : 8.4.1.62      328055 Bytes  13.09.2013 08:56:46
AEEMU.DLL      : 8.1.3.2       393587 Bytes  26.06.2013 18:27:49
AECORE.DLL     : 8.1.32.0      201081 Bytes  23.08.2013 12:22:09
AEBB.DLL       : 8.1.1.4        53619 Bytes  26.06.2013 18:27:48
AVWINLL.DLL    : 14.0.0.225     23624 Bytes  01.10.2013 09:37:27
AVPREF.DLL     : 14.0.0.225     48712 Bytes  01.10.2013 09:37:33
AVREP.DLL      : 14.0.0.225    175688 Bytes  01.10.2013 09:37:33
AVARKT.DLL     : 14.0.0.225    257096 Bytes  01.10.2013 09:37:31
AVEVTLOG.DLL   : 14.0.0.383    165960 Bytes  01.10.2013 09:37:32
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  26.06.2013 18:28:10
AVSMTP.DLL     : 14.0.0.225     60488 Bytes  01.10.2013 09:37:34
NETNT.DLL      : 14.0.0.225     13384 Bytes  01.10.2013 09:37:38
RCIMAGE.DLL    : 14.0.0.225   4786760 Bytes  01.10.2013 09:37:27
RCTEXT.DLL     : 14.0.0.225     67144 Bytes  01.10.2013 09:37:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, H:, I:, J:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: C:\Users\AAA\AppData\Roaming\HoldemManager, 

Beginn des Suchlaufs: Tuesday, October 08, 2013  12:03

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:, D:, E:, F:)'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'HDD1(H:, I:, J:)'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Fehler in der ARK Library

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '136' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE64.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Fuel.Service.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTDevSrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler64.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicKey.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'SoftAuto.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '224' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1987' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Program Files\Windows Defender\MpAsDesc.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Program Files\Windows Defender\MpClient.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Program Files\Windows Defender\MpCmdRun.exe
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Program Files\Windows Defender\MpEvMsg.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Program Files\Windows Defender\MpOAV.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Program Files\Windows Defender\MpRtMon.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Program Files\Windows Defender\MpRtPlug.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Program Files\Windows Defender\MpSigDwn.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Program Files\Windows Defender\MpSoftEx.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Das Verzeichnis 'C:\Users\AAA\AppData\Roaming\HoldemManager\' wurde von der Suche ausgenommen!
C:\Users\Sir Ingo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\7e4a563e-51bf7bc1
    [0] Archivtyp: ZIP
    --> cuumfrsmeyghklbvetb/abudmwenfdlctbdals.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.215
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/bffnkqprvlqdsksmkprlfgl.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.141
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/ejesrnfwklsrnphvl$evdrcqswe.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.165
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/ejesrnfwklsrnphvl.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.49
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/flgan.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.162
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/gqukqtppgqvcwysgsdtvm.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.14
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/hahsbgjsuetqnjgutcslacd.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.87
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/nbmmwpwqqjejwnhjnnnubbhha.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.61
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/nunmtmatkkcalvkh.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.231
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/qlmhpymrrhp.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.163
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/tmkpambdua.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.188
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/vbmfwpnymhcnj.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.180
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/vrjhbdl.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.161
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/wwnnehjvaphn.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.63
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Sir Ingo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\34ccfe88-136d2d7f
    [0] Archivtyp: ZIP
    --> cuumfrsmeyghklbvetb/abudmwenfdlctbdals.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.215
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/bljwthwbhkkbsywmtwjeqk.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.57
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/fvuhyasywrdefwaws.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.233
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/jmjugwyqasgaepl.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.232
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/kegmeerajskndyufefrewy.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.203
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/nbmmwpwqqjejwnhjnnnubbhha.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.61
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/qlmhpymrrhp.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.163
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/vrjhbdl.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.161
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    --> cuumfrsmeyghklbvetb/ythghr.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.205
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Windows\winsxs\amd64_security-malware-windows-defender-events_31bf3856ad364e35_6.0.6000.16386_none_0f7fd9bd770b97a5\MpEvMsg.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.0.6001.18000_none_b3db4c4e108c89fb\MpAsDesc.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.0.6001.18000_none_b3db4c4e108c89fb\MpClient.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.0.6001.18000_none_b3db4c4e108c89fb\MpCmdRun.exe
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.0.6001.18000_none_b3db4c4e108c89fb\MpOAV.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.0.6001.18000_none_b3db4c4e108c89fb\MpRtMon.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.0.6001.18000_none_b3db4c4e108c89fb\MpRtPlug.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Spielekiste>
D:\pagefile.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\' <Backup>
Beginne mit der Suche in 'H:\' <BOOT>
Beginne mit der Suche in 'I:\' <BACKUP>
Beginne mit der Suche in 'J:\' <RECOVER>

Beginne mit der Desinfektion:
C:\Users\Sir Ingo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\34ccfe88-136d2d7f
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.205
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56a1be30.qua' verschoben!
C:\Users\Sir Ingo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\7e4a563e-51bf7bc1
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.63
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e099048.qua' verschoben!


Ende des Suchlaufs: Tuesday, October 08, 2013  17:03
Benötigte Zeit:  1:42:06 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  40607 Verzeichnisse wurden überprüft
 837168 Dateien wurden geprüft
     23 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
     17 Dateien konnten nicht durchsucht werden
 837128 Dateien ohne Befall
  13447 Archive wurden durchsucht
     40 Warnungen
      2 Hinweise
     57 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

aharonov · 08.10.2013, 18:24

Hi,

ja das ist ZeroAccess...

Schritt 1

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte noch einmal FRST.

Ändere keine der Voreinstellungen und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Samsodong · 08.10.2013, 19:55

Hallo und Danke für deine Hilfe.

So, beide Programme ausgeführt und hier nun die Logs.

Code:

ATTFilter

ComboFix 13-10-08.01 - Sir Ingo 08.10.2013  20:03:34.1.2 - x64
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1033.18.12286.10648 [GMT 2:00]
ausgeführt von:: c:\users\Sir Ingo\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
FW: ZoneAlarm Free Firewall Firewall *Enabled* {E6380B7E-D4B2-19F1-083E-56486607704B}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Disk Defrag
c:\programdata\Microsoft\Windows\Start Menu\Programs\Disk Defrag\ Check Your PC Performance.url
c:\programdata\Microsoft\Windows\Start Menu\Programs\Disk Defrag\Auslogics Disk Defrag on the Web.url
c:\programdata\Microsoft\Windows\Start Menu\Programs\Disk Defrag\Auslogics Disk Defrag.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Disk Defrag\Uninstall Auslogics Disk Defrag.lnk
c:\users\Sir Ingo\AppData\Local\Google\Desktop\Install
c:\users\Sir Ingo\AppData\Local\Google\Desktop\Install\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\???\???\???\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\@
c:\users\Sir Ingo\AppData\Local\Google\Desktop\Install\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\???\???\???\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\GoogleUpdate.exe
c:\users\Sir Ingo\AppData\Local\Google\Desktop\Install\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\C3C1~1\01C8~1\CFFE~1\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\@
c:\users\Sir Ingo\AppData\Local\Google\Desktop\Install\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\C3C1~1\01C8~1\CFFE~1\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\GoogleUpdate.exe
c:\users\Sir Ingo\AppData\Roaming\skype.ini
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\IsUn0407.exe
c:\windows\PFRO.log
c:\windows\SysWow64\tmpCBBA.tmp
c:\windows\SysWow64\tmpCC86.tmp
c:\windows\wininit.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-09-08 bis 2013-10-08  ))))))))))))))))))))))))))))))
.
.
2013-10-08 18:18 . 2013-10-08 18:23	--------	d-----w-	c:\users\postgres\AppData\Local\temp
2013-10-08 18:18 . 2013-10-08 18:18	--------	d-----w-	c:\users\Internet\AppData\Local\temp
2013-10-08 18:18 . 2013-10-08 18:18	--------	d-----w-	c:\users\Ingo\AppData\Local\temp
2013-10-08 18:18 . 2013-10-08 18:18	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-10-08 18:18 . 2013-10-08 18:18	--------	d-----w-	c:\users\aefaea\AppData\Local\temp
2013-10-08 18:18 . 2013-10-08 18:18	--------	d-----w-	c:\users\AAA\AppData\Local\temp
2013-10-07 19:50 . 2013-10-07 19:50	--------	d-----w-	C:\FRST
2013-10-06 20:34 . 2013-10-06 20:34	--------	d-----w-	c:\users\Sir Ingo\AppData\Roaming\SUPERAntiSpyware.com
2013-10-06 20:34 . 2013-10-06 20:34	--------	d-----w-	c:\programdata\SUPERAntiSpyware.com
2013-10-06 20:32 . 2013-10-06 20:32	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2013-10-02 22:40 . 2013-10-02 22:40	--------	d-----w-	c:\users\aefaea\AppData\Local\Adobe_Systems_Incorporate
2013-10-02 18:46 . 2013-10-02 18:46	--------	d-----w-	c:\program files (x86)\Plus-HD-2.2
2013-10-02 18:46 . 2013-10-02 18:46	--------	d-----w-	c:\users\Sir Ingo\AppData\Local\Cool_Mirage
2013-09-29 12:12 . 2013-09-29 12:12	--------	d-----w-	c:\users\Sir Ingo\AppData\Roaming\IrfanView
2013-09-28 21:05 . 2013-09-28 21:05	--------	d-----w-	c:\users\Sir Ingo\AppData\Roaming\JAM Software
2013-09-20 17:45 . 2013-07-31 13:23	887808	----a-w-	c:\program files\Internet Explorer\iedvtool.dll
2013-09-13 14:00 . 2013-10-06 14:00	--------	d-----w-	c:\program files (x86)\Google
2013-09-13 14:00 . 2013-10-06 14:00	--------	d-----w-	c:\users\Sir Ingo\AppData\Local\Google
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-10-01 09:37 . 2013-06-26 18:29	28600	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-10-01 09:37 . 2013-06-26 18:29	132600	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-10-01 09:37 . 2013-06-26 18:29	105856	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-09-23 17:49 . 2012-06-23 17:36	71048	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-09-23 17:49 . 2012-06-23 17:36	692616	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-09-20 17:46 . 2006-11-02 12:35	79143768	----a-w-	c:\windows\system32\mrt.exe
2013-07-17 20:01 . 2013-08-20 20:47	2048	----a-w-	c:\windows\system32\tzres.dll
2013-07-17 19:41 . 2013-08-20 20:47	2048	----a-w-	c:\windows\SysWow64\tzres.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1555968]
"MagicKey"="c:\progra~1\TASTAT~1\MagicKey.exe" [2007-01-10 516608]
"SoftAuto.exe"="c:\program files (x86)\Creative\Software Update 3\SoftAuto.exe" [2008-08-13 405504]
"ISUSPM Startup"="c:\progra~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 221184]
"SUPERAntiSpyware"="c:\program files (x86)\Festplatte\Superantispyware\SUPERAntiSpyware.exe" [2013-10-02 6588144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-03-04 311296]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-07-04 641704]
"ZoneAlarm"="c:\program files (x86)\CheckPoint\ZoneAlarm\zatray.exe" [2013-03-27 73832]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2013-10-01 681032]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]
"ISUSScheduler"="c:\program files (x86)\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-17 81920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
S2 !SASCORE;SAS Core Service;c:\program files (x86)\Festplatte\Superantispyware\SASCORE64.EXE;c:\program files (x86)\Festplatte\Superantispyware\SASCORE64.EXE [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
Themes
.
Inhalt des "geplante Tasks" Ordners
.
2013-10-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2013-09-13 14:00]
.
2013-10-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2013-09-13 14:00]
.
2013-10-08 c:\windows\Tasks\Plus-HD-2.2-codedownloader.job
- c:\program files (x86)\Plus-HD-2.2\Plus-HD-2.2-codedownloader.exe [2013-10-02 18:46]
.
2013-10-08 c:\windows\Tasks\Plus-HD-2.2-firefoxinstaller.job
- c:\program files (x86)\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe [2013-10-02 18:46]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-08-18 8067616]
"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2012-11-22 1127592]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: &Download by Orbit - c:\program files (x86)\Internet\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files (x86)\Internet\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\program files (x86)\Internet\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files (x86)\Internet\Orbitdownloader\orbitmxt.dll/202
IE: Free YouTube Download - c:\users\Sir Ingo\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm
TCP: DhcpNameServer = 192.168.0.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\postgresql-8.4]
"ImagePath"="C:/Program Files (x86)/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"D:/Hand\" -w"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\postgresql-8.4]
"ImagePath"="C:/Program Files (x86)/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"D:/Hand\" -w"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3987018002-2970003512-1192746098-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:a8,0c,1c,fc,f7,c1,0d,c6,9f,9e,dc,ef,fe,f4,94,8b,53,d2,2b,e4,39,d2,fe,
   94,aa,b1,a0,5b,ea,1e,5d,93,9c,a7,2b,6f,ea,e0,96,c8,fc,15,8a,e5,ce,13,e3,99,\
"??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b
.
[HKEY_USERS\S-1-5-21-3987018002-2970003512-1192746098-1000\Software\SecuROM\License information*]
"datasecu"=hex:f6,db,0c,ac,6e,2c,c7,c2,d5,b3,d8,b7,17,de,fc,59,7b,29,74,75,b3,
   ab,da,06,51,14,ce,81,3f,c0,62,cf,e1,cd,b1,74,4c,92,42,b0,2a,ab,85,e5,54,8f,\
"rkeysecu"=hex:09,5c,d2,4f,ab,c9,cc,df,c3,6c,63,d3,fa,d7,37,60
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}]
@Denied: (A 2) (Everyone)
@="FlashProp Class"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}\InprocServer32]
@="d:\\Spiele\\Abenteuer\\Tod auf dem Nil\\flash.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="d:\\Spiele\\Abenteuer\\Tod auf dem Nil\\flash.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.9"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="d:\\Spiele\\Abenteuer\\Tod auf dem Nil\\flash.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="d:\\Spiele\\Abenteuer\\Tod auf dem Nil\\flash.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="d:\\Spiele\\Abenteuer\\Tod auf dem Nil\\flash.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG*]
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Avira\AntiVir Desktop\sched.exe
c:\program files (x86)\Creative\Shared Files\CTDevSrv.exe
c:\program files (x86)\PostgreSQL\8.4\bin\pg_ctl.exe
c:\program files (x86)\PostgreSQL\8.4\bin\postgres.exe
c:\program files (x86)\PostgreSQL\8.4\bin\postgres.exe
c:\program files (x86)\PostgreSQL\8.4\bin\postgres.exe
c:\program files (x86)\PostgreSQL\8.4\bin\postgres.exe
c:\program files (x86)\PostgreSQL\8.4\bin\postgres.exe
c:\program files (x86)\PostgreSQL\8.4\bin\postgres.exe
c:\program files (x86)\Google\Update\1.3.21.153\GoogleCrashHandler.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-10-08  20:28:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-10-08 18:28
.
Vor Suchlauf: 2.383.097.856 bytes free
Nach Suchlauf: 2.940.280.832 bytes free
.
- - End Of File - - 8A5CAD2760E99FF99362C372D59ADCA6
5C616939100B85E558DA92B899A0FC36

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-10-2013
Ran by Sir Ingo (administrator) on SIRINGO-PC on 08-10-2013 20:34:44
Running from C:\Users\Sir Ingo\Desktop
Windows Vista (TM) Home Premium Service Pack 2 (X64) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(AMD) C:\Windows\system32\atiesrxx.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Check Point Software Technologies LTD) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe
(Check Point Software Technologies) C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(SUPERAntiSpyware.com) C:\Program Files (x86)\Festplatte\Superantispyware\SASCORE64.EXE
(Advanced Micro Devices, Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
(Creative Technology Ltd) C:\Program Files (x86)\Creative\Shared Files\CTDevSrv.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\pg_ctl.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(Check Point Software Technologies) C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
(Google Inc.) C:\Program Files (x86)\Google\Update\1.3.21.153\GoogleCrashHandler.exe
(Google Inc.) C:\Program Files (x86)\Google\Update\1.3.21.153\GoogleCrashHandler64.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
() C:\Program Files\Tastatur Media Key\MagicKey.exe
(SUPERAntiSpyware) C:\Program Files (x86)\Festplatte\Superantispyware\SUPERAntiSpyware.exe
(Check Point Software Technologies LTD) C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Microsoft Corporation) C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [8067616 2009-08-18] (Realtek Semiconductor)
HKLM\...\Run: [ISW] - C:\Program Files\CheckPoint\ZAForceField\ForceField.exe [1127592 2012-11-22] (Check Point Software Technologies)
HKCU\...\Run: [MagicKey] - C:\Program Files\Tastatur Media Key\MagicKey.exe [516608 2007-01-10] ()
HKCU\...\Run: [SoftAuto.exe] - C:\Program Files (x86)\Creative\Software Update 3\SoftAuto.exe [405504 2008-08-13] (Creative Technology Ltd)
HKCU\...\Run: [ISUSPM Startup] - C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe [221184 2005-02-17] (InstallShield Software Corporation)
HKCU\...\Run: [SUPERAntiSpyware] - C:\Program Files (x86)\Festplatte\Superantispyware\SUPERAntiSpyware.exe [6588144 2013-10-02] (SUPERAntiSpyware)
HKLM-x32\...\Run: [ATICustomerCare] - C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe [311296 2010-03-04] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe [40048 2007-05-11] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [641704 2012-07-04] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [ZoneAlarm] - C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe [73832 2013-03-27] (Check Point Software Technologies LTD)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [681032 2013-10-01] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation)
HKLM-x32\...\Run: [ISUSScheduler] - C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-02-17] (InstallShield Software Corporation)
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x9DD14FF97447CE01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&r=272
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&r=272
BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
BHO-x32: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files (x86)\Internet\Orbitdownloader\orbitcth.dll (Orbitdownloader.com)
BHO-x32: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Toolbar: HKLM-x32 - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Toolbar: HKCU - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Winsock: Catalog5 01 %SystemRoot%\System32\mswsock.dll [223232] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 01 %SystemRoot%\System32\mswsock.dll [304128] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_168.dll ()
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_8_800_168.dll ()
FF Plugin-x32: @checkpoint.com/FFApi - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll ()
FF Plugin-x32: @Google.com/GoogleEarthPlugin - C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin-x32: @java.com/DTPlugin,version=10.21.2 - C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.21.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Extension: ftd - C:\Users\Sir Ingo\AppData\Roaming\Mozilla\Firefox\profiles\extensions\ftd@ftd.com.xpi
FF HKLM\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF Extension: No Name - C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF HKLM-x32\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
FF Extension: ZoneAlarm Security Engine - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
FF HKLM-x32\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

==================== Services (Whitelisted) =================

R2 !SASCORE; C:\Program Files (x86)\Festplatte\Superantispyware\SASCORE64.EXE [143120 2013-05-23] (SUPERAntiSpyware.com)
R2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [361984 2012-07-04] (Advanced Micro Devices, Inc.)
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440392 2013-10-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440392 2013-10-01] (Avira Operations GmbH & Co. KG)
R2 CTDevice_Srv; C:\Program Files (x86)\Creative\Shared Files\CTDevSrv.exe [61440 2007-04-02] (Creative Technology Ltd)
S3 CTUPnPSv; C:\Program Files (x86)\Creative\Creative Centrale\CTUPnPSv.exe [64000 2008-05-21] (Creative Technology Ltd)
R2 IswSvc; C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe [828072 2012-11-22] (Check Point Software Technologies)
S4 RemoteAccess; C:\Windows\system32\svchost.exe [27648 2008-01-21] (Microsoft Corporation)
R2 vsmon; C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe [2447888 2013-03-27] (Check Point Software Technologies LTD)
R2 postgresql-8.4; C:/Program Files (x86)/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "D:/Hand" -w [x]

==================== Drivers (Whitelisted) ====================

R2 AODDriver4.1; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [53888 2012-03-05] (Advanced Micro Devices)
R2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [314016 2011-03-20] ()
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [105856 2013-10-01] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132600 2013-10-01] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-01] (Avira Operations GmbH & Co. KG)
S3 gdrv; C:\Windows\gdrv.sys [25640 2010-09-19] (Windows (R) Server 2003 DDK provider)
S3 gdrv; C:\Windows\gdrv.sys [25640 2010-09-19] (Windows (R) Server 2003 DDK provider)
R2 ISWKL; C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [33712 2012-11-22] (Check Point Software Technologies)
R2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [43680 2011-03-20] ()
S1 prodrv06; C:\Windows\SysWow64\drivers\prodrv06.sys [77184 2004-03-09] (Protection Technology)
S0 prohlp02; C:\Windows\SysWow64\drivers\prohlp02.sys [65504 2004-03-09] (Protection Technology)
S0 prosync1; C:\Windows\SysWow64\drivers\prosync1.sys [6944 2003-09-06] (Protection Technology)
R1 SASDIFSV; C:\Program Files (x86)\Festplatte\Superantispyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASDIFSV; C:\Program Files (x86)\Festplatte\Superantispyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files (x86)\Festplatte\Superantispyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files (x86)\Festplatte\Superantispyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S0 sfhlp01; C:\Windows\SysWow64\drivers\sfhlp01.sys [4832 2003-12-01] (Protection Technology)
S2 tandpl; C:\Windows\SysWow64\drivers\tandpl.sys [4736 2003-04-19] ()
R1 Vsdatant; C:\Windows\System32\DRIVERS\vsdatant.sys [443992 2012-12-13] (Check Point Software Technologies LTD)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27648 2008-01-21] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [x]
S0 prohlp02; System32\drivers\prohlp02.sys [x]
S0 prosync1; System32\drivers\prosync1.sys [x]
S0 sfhlp01; System32\drivers\sfhlp01.sys [x]
S2 tandpl; System32\drivers\tandpl.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-08 20:34 - 2013-10-08 20:34 - 00014789 _____ C:\Users\Sir Ingo\Desktop\combofix.txt
2013-10-08 20:28 - 2013-10-08 20:28 - 00014789 _____ C:\ComboFix.txt
2013-10-08 19:50 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-10-08 19:50 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-10-08 19:50 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-10-08 19:48 - 2013-10-08 20:28 - 00000000 ____D C:\Qoobox
2013-10-08 19:47 - 2013-10-08 20:27 - 00000000 ____D C:\Windows\erdnt
2013-10-08 19:45 - 2013-10-08 19:33 - 05132072 ____R (Swearware) C:\Users\Sir Ingo\Desktop\ComboFix.exe
2013-10-08 17:06 - 2013-10-08 17:04 - 00038400 _____ C:\Users\Sir Ingo\Desktop\AVSCAN-20131008-120305-F170CF22.LOG
2013-10-07 23:01 - 2013-10-07 23:01 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder (2)
2013-10-07 22:58 - 2013-10-07 22:58 - 00000000 ____D C:\Users\Sir Ingo\Desktop\Malwarebytes' Anti-Malware
2013-10-07 22:16 - 2013-10-07 22:21 - 00002033 _____ C:\Users\Sir Ingo\Desktop\gmer text.txt
2013-10-07 21:51 - 2013-10-07 21:52 - 00022890 _____ C:\Users\Sir Ingo\Desktop\Addition.txt
2013-10-07 21:50 - 2013-10-07 21:50 - 00000000 ____D C:\FRST
2013-10-07 21:49 - 2013-10-07 21:49 - 00000478 _____ C:\Users\Sir Ingo\Desktop\defogger_disable.log
2013-10-07 21:49 - 2013-10-07 21:49 - 00000000 _____ C:\Users\Sir Ingo\defogger_reenable
2013-10-07 21:48 - 2013-10-07 21:48 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder
2013-10-07 21:48 - 2013-10-07 21:44 - 01954124 _____ (Farbar) C:\Users\Sir Ingo\Desktop\FRST64.exe
2013-10-07 21:48 - 2013-10-07 21:43 - 00050477 _____ C:\Users\Sir Ingo\Desktop\Defogger.exe
2013-10-07 21:48 - 2013-10-07 20:08 - 00377856 _____ C:\Users\Sir Ingo\Desktop\gmer_2.1.19163.exe
2013-10-06 22:34 - 2013-10-06 22:34 - 00002017 _____ C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\SUPERAntiSpyware.com
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-10-06 22:32 - 2013-10-06 22:32 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-10-06 21:00 - 2013-10-06 21:00 - 00005572 _____ C:\Users\aefaea\Documents\cc_20131006_210016.reg
2013-10-06 20:51 - 2013-10-06 20:55 - 00000732 _____ C:\Users\aefaea\AppData\Local\d3d9caps64.dat
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\Documents\My Digital Editions
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\AppData\Local\Adobe_Systems_Incorporate
2013-10-02 20:46 - 2013-10-08 20:23 - 00001836 _____ C:\Windows\Tasks\Plus-HD-2.2-firefoxinstaller.job
2013-10-02 20:46 - 2013-10-08 20:23 - 00001204 _____ C:\Windows\Tasks\Plus-HD-2.2-codedownloader.job
2013-10-02 20:46 - 2013-10-02 20:46 - 00004234 _____ C:\Windows\System32\Tasks\Plus-HD-2.2-codedownloader
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Cool_Mirage
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Program Files (x86)\Plus-HD-2.2
2013-09-30 20:46 - 2013-09-30 20:46 - 00002013 _____ C:\Users\Public\Desktop\Adobe Digital Editions 2.0.lnk
2013-09-30 19:59 - 2013-09-30 19:59 - 00001042 _____ C:\Users\Sir Ingo\Desktop\TREESIZE.lnk
2013-09-29 14:12 - 2013-09-29 14:12 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\IrfanView
2013-09-29 13:34 - 2013-09-29 13:34 - 00003044 _____ C:\Windows\System32\Tasks\{A4C3FB77-A51E-4046-970C-99C06E7FB587}
2013-09-28 23:05 - 2013-09-28 23:05 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\JAM Software
2013-09-20 19:46 - 2013-07-31 15:29 - 02312704 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-09-20 19:46 - 2013-07-31 15:20 - 01346560 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-09-20 19:46 - 2013-07-31 15:19 - 01392128 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-09-20 19:46 - 2013-07-31 15:18 - 01494528 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-09-20 19:46 - 2013-07-31 15:17 - 00237056 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-09-20 19:46 - 2013-07-31 15:16 - 00085504 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-09-20 19:46 - 2013-07-31 15:14 - 00173056 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-09-20 19:46 - 2013-07-31 15:13 - 00816640 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-09-20 19:46 - 2013-07-31 15:13 - 00599040 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2013-09-20 19:46 - 2013-07-31 15:11 - 00729088 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-09-20 19:46 - 2013-07-31 15:09 - 00096768 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-09-20 19:46 - 2013-07-31 15:08 - 02382848 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-09-20 19:46 - 2013-07-31 15:05 - 00248320 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-09-20 19:46 - 2013-07-31 12:00 - 01800704 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-09-20 19:46 - 2013-07-31 11:53 - 01104896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-09-20 19:46 - 2013-07-31 11:52 - 01427968 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-09-20 19:46 - 2013-07-31 11:52 - 01129472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-09-20 19:46 - 2013-07-31 11:51 - 00231936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-09-20 19:46 - 2013-07-31 11:49 - 00065024 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-09-20 19:46 - 2013-07-31 11:48 - 00717824 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-09-20 19:46 - 2013-07-31 11:48 - 00420864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-09-20 19:46 - 2013-07-31 11:48 - 00142848 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-09-20 19:46 - 2013-07-31 11:47 - 00607744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-09-20 19:46 - 2013-07-31 11:45 - 02382848 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-09-20 19:46 - 2013-07-31 11:45 - 00073216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-09-20 19:46 - 2013-07-31 11:42 - 00176640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-09-20 19:45 - 2013-08-08 04:03 - 02775552 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-09-20 19:45 - 2013-08-02 16:06 - 01706496 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-09-20 19:45 - 2013-08-02 06:09 - 01548288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WMVDECOD.DLL
2013-09-20 19:45 - 2013-07-31 16:17 - 17833472 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-09-20 19:45 - 2013-07-31 15:42 - 10926080 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-09-20 19:45 - 2013-07-31 15:11 - 02147840 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-09-20 19:45 - 2013-07-31 12:30 - 12335104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-09-20 19:45 - 2013-07-31 12:05 - 09738752 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-09-20 19:45 - 2013-07-31 11:46 - 01796096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-09-20 19:45 - 2013-07-16 11:25 - 00689152 _____ (Microsoft Corporation) C:\Windows\system32\themeui.dll
2013-09-20 19:45 - 2013-07-16 06:35 - 00615936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\themeui.dll
2013-09-13 16:02 - 2013-09-13 16:02 - 00002115 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-09-13 16:00 - 2013-10-08 20:23 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-09-13 16:00 - 2013-10-08 20:05 - 00001114 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-09-13 16:00 - 2013-10-06 16:00 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Google
2013-09-13 16:00 - 2013-10-06 16:00 - 00000000 ____D C:\Program Files (x86)\Google
2013-09-13 16:00 - 2013-09-13 16:00 - 00004110 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2013-09-13 16:00 - 2013-09-13 16:00 - 00003858 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore

==================== One Month Modified Files and Folders =======

2013-10-08 20:34 - 2013-10-08 20:34 - 00014789 _____ C:\Users\Sir Ingo\Desktop\combofix.txt
2013-10-08 20:28 - 2013-10-08 20:28 - 00014789 _____ C:\ComboFix.txt
2013-10-08 20:28 - 2013-10-08 19:48 - 00000000 ____D C:\Qoobox
2013-10-08 20:28 - 2006-11-02 15:33 - 00000000 __RHD C:\Users\Default
2013-10-08 20:28 - 2006-11-02 14:46 - 00769000 _____ C:\Windows\system32\PerfStringBackup.INI
2013-10-08 20:27 - 2013-10-08 19:47 - 00000000 ____D C:\Windows\erdnt
2013-10-08 20:23 - 2013-10-02 20:46 - 00001836 _____ C:\Windows\Tasks\Plus-HD-2.2-firefoxinstaller.job
2013-10-08 20:23 - 2013-10-02 20:46 - 00001204 _____ C:\Windows\Tasks\Plus-HD-2.2-codedownloader.job
2013-10-08 20:23 - 2013-09-13 16:00 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-10-08 20:23 - 2006-11-02 14:34 - 00000215 _____ C:\Windows\system.ini
2013-10-08 20:22 - 2006-11-02 17:42 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-08 20:22 - 2006-11-02 17:22 - 00003744 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-08 20:22 - 2006-11-02 17:22 - 00003744 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-08 20:21 - 2008-01-21 03:53 - 01910035 _____ C:\Windows\WindowsUpdate.log
2013-10-08 20:21 - 2006-11-02 17:42 - 00032620 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-10-08 20:05 - 2013-09-13 16:00 - 00001114 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-10-08 19:33 - 2013-10-08 19:45 - 05132072 ____R (Swearware) C:\Users\Sir Ingo\Desktop\ComboFix.exe
2013-10-08 17:04 - 2013-10-08 17:06 - 00038400 _____ C:\Users\Sir Ingo\Desktop\AVSCAN-20131008-120305-F170CF22.LOG
2013-10-07 23:01 - 2013-10-07 23:01 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder (2)
2013-10-07 22:58 - 2013-10-07 22:58 - 00000000 ____D C:\Users\Sir Ingo\Desktop\Malwarebytes' Anti-Malware
2013-10-07 22:21 - 2013-10-07 22:16 - 00002033 _____ C:\Users\Sir Ingo\Desktop\gmer text.txt
2013-10-07 21:52 - 2013-10-07 21:51 - 00022890 _____ C:\Users\Sir Ingo\Desktop\Addition.txt
2013-10-07 21:50 - 2013-10-07 21:50 - 00000000 ____D C:\FRST
2013-10-07 21:49 - 2013-10-07 21:49 - 00000478 _____ C:\Users\Sir Ingo\Desktop\defogger_disable.log
2013-10-07 21:49 - 2013-10-07 21:49 - 00000000 _____ C:\Users\Sir Ingo\defogger_reenable
2013-10-07 21:49 - 2010-08-04 19:32 - 00000000 ____D C:\Users\Sir Ingo
2013-10-07 21:48 - 2013-10-07 21:48 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder
2013-10-07 21:44 - 2013-10-07 21:48 - 01954124 _____ (Farbar) C:\Users\Sir Ingo\Desktop\FRST64.exe
2013-10-07 21:43 - 2013-10-07 21:48 - 00050477 _____ C:\Users\Sir Ingo\Desktop\Defogger.exe
2013-10-07 20:08 - 2013-10-07 21:48 - 00377856 _____ C:\Users\Sir Ingo\Desktop\gmer_2.1.19163.exe
2013-10-06 22:34 - 2013-10-06 22:34 - 00002017 _____ C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\SUPERAntiSpyware.com
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-10-06 22:34 - 2012-06-25 23:19 - 00000000 ____D C:\Program Files (x86)\Festplatte
2013-10-06 22:32 - 2013-10-06 22:32 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-10-06 22:31 - 2013-06-27 00:30 - 00003975 _____ C:\Windows\setupact.log
2013-10-06 21:34 - 2006-11-02 17:21 - 00232056 _____ C:\Windows\system32\FNTCACHE.DAT
2013-10-06 21:00 - 2013-10-06 21:00 - 00005572 _____ C:\Users\aefaea\Documents\cc_20131006_210016.reg
2013-10-06 20:55 - 2013-10-06 20:51 - 00000732 _____ C:\Users\aefaea\AppData\Local\d3d9caps64.dat
2013-10-06 20:17 - 2013-01-30 20:34 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\HoldemManager
2013-10-06 20:06 - 2012-06-22 23:08 - 00003706 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{48F17EDA-5149-4FF2-BA05-5AE15C050392}
2013-10-06 19:33 - 2010-08-04 19:32 - 00001460 _____ C:\Users\Sir Ingo\AppData\Local\d3d9caps64.dat
2013-10-06 16:00 - 2013-09-13 16:00 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Google
2013-10-06 16:00 - 2013-09-13 16:00 - 00000000 ____D C:\Program Files (x86)\Google
2013-10-03 17:59 - 2012-06-02 18:40 - 00000000 ____D C:\Users\Public\Documents\STALKER-SHOC
2013-10-03 14:45 - 2012-07-14 12:00 - 00000000 ____D C:\Users\Sir Ingo\.umplayer
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\Documents\My Digital Editions
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\AppData\Local\Adobe_Systems_Incorporate
2013-10-02 20:46 - 2013-10-02 20:46 - 00004234 _____ C:\Windows\System32\Tasks\Plus-HD-2.2-codedownloader
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Cool_Mirage
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Program Files (x86)\Plus-HD-2.2
2013-10-02 20:46 - 2013-03-13 15:33 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\Mozilla
2013-10-01 11:37 - 2013-06-26 20:29 - 00132600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2013-10-01 11:37 - 2013-06-26 20:29 - 00105856 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2013-10-01 11:37 - 2013-06-26 20:29 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys
2013-09-30 20:46 - 2013-09-30 20:46 - 00002013 _____ C:\Users\Public\Desktop\Adobe Digital Editions 2.0.lnk
2013-09-30 19:59 - 2013-09-30 19:59 - 00001042 _____ C:\Users\Sir Ingo\Desktop\TREESIZE.lnk
2013-09-29 14:12 - 2013-09-29 14:12 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\IrfanView
2013-09-29 13:43 - 2010-08-05 19:01 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2013-09-29 13:34 - 2013-09-29 13:34 - 00003044 _____ C:\Windows\System32\Tasks\{A4C3FB77-A51E-4046-970C-99C06E7FB587}
2013-09-28 23:05 - 2013-09-28 23:05 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\JAM Software
2013-09-27 20:01 - 2013-01-06 16:13 - 00000000 ____D C:\Users\Sir Ingo\Desktop\Filme Musik Massage
2013-09-23 19:49 - 2012-06-23 19:36 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-09-23 19:49 - 2012-06-23 19:36 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-09-23 19:49 - 2011-04-14 23:06 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Adobe
2013-09-20 19:49 - 2013-07-23 13:23 - 00000000 ____D C:\Windows\system32\MRT
2013-09-20 19:46 - 2006-11-02 14:35 - 79143768 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-09-13 16:02 - 2013-09-13 16:02 - 00002115 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-09-13 16:00 - 2013-09-13 16:00 - 00004110 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2013-09-13 16:00 - 2013-09-13 16:00 - 00003858 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore

Files to move or delete:
====================
ZeroAccess:
C:\Program Files (x86)\Google\Desktop\Install
C:\ProgramData\0tbpw.pad


Some content of TEMP:
====================
C:\Users\Sir Ingo\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-10-08 20:28

==================== End Of Log ============================

--- --- ---

--- --- ---

aharonov · 08.10.2013, 21:40

Hi,

wie läuft der Rechner jetzt?

Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

2013-10-02 20:46 - 2013-10-08 20:23 - 00001836 _____ C:\Windows\Tasks\Plus-HD-2.2-firefoxinstaller.job
2013-10-02 20:46 - 2013-10-08 20:23 - 00001204 _____ C:\Windows\Tasks\Plus-HD-2.2-codedownloader.job
2013-10-02 20:46 - 2013-10-02 20:46 - 00004234 _____ C:\Windows\System32\Tasks\Plus-HD-2.2-codedownloader
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Cool_Mirage
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Program Files (x86)\Plus-HD-2.2
C:\Program Files (x86)\Google\Desktop\Install
C:\ProgramData\0tbpw.pad

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3

Starte noch einmal FRST.

Ändere keine der Voreinstellungen und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Samsodong · 09.10.2013, 19:45

OK, Defender und Internet gehen wieder, ich hab an beiden Programmen nichts geändert.

Eset hat neue Plagegeister gefunden und ich konnte vom schadhaften Computer nicht auf meinen Thread bei euch antworten. Ich bekam immer die Meldung, daß das Sicherheitstoken abgelaufen ist. Auch das Einloggen musste ich mehrmals wiederholen.

Ich antworte also weiterhin vom nicht infizierten Rechner.

Hier nun die Logs.

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 02-10-2013
Ran by Sir Ingo at 2013-10-09 11:46:07 Run:1
Running from C:\Users\Sir Ingo\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
2013-10-02 20:46 - 2013-10-08 20:23 - 00001836 _____ C:\Windows\Tasks\Plus-HD-2.2-firefoxinstaller.job
2013-10-02 20:46 - 2013-10-08 20:23 - 00001204 _____ C:\Windows\Tasks\Plus-HD-2.2-codedownloader.job
2013-10-02 20:46 - 2013-10-02 20:46 - 00004234 _____ C:\Windows\System32\Tasks\Plus-HD-2.2-codedownloader
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Cool_Mirage
2013-10-02 20:46 - 2013-10-02 20:46 - 00000000 ____D C:\Program Files (x86)\Plus-HD-2.2
C:\Program Files (x86)\Google\Desktop\Install
C:\ProgramData\0tbpw.pad
*****************

C:\Windows\Tasks\Plus-HD-2.2-firefoxinstaller.job => Moved successfully.
C:\Windows\Tasks\Plus-HD-2.2-codedownloader.job => Moved successfully.
C:\Windows\System32\Tasks\Plus-HD-2.2-codedownloader => Moved successfully.
C:\Users\Sir Ingo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com => Moved successfully.
C:\Users\Sir Ingo\AppData\Local\Cool_Mirage => Moved successfully.
C:\Program Files (x86)\Plus-HD-2.2 => Moved successfully.

"C:\Program Files (x86)\Google\Desktop\Install" directory move:

Could not move "C:\Program Files (x86)\Google\Desktop\Install" directory. => Scheduled to move on reboot.

C:\ProgramData\0tbpw.pad => Moved successfully.

=========== Result of Scheduled Files to move ===========

C:\Program Files (x86)\Google\Desktop\Install => Is moved successfully.

==== End of Fixlog ====

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=83f14b445d52f142a92946d42c003ad8
# engine=15413
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-10-09 04:56:01
# local_time=2013-10-09 06:56:01 (+0100, W. Europe Daylight Time)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1799 16775165 100 96 27525 9066526 20309 0
# compatibility_mode=5892 16776573 100 100 86477284 218861667 0 0
# compatibility_mode=9217 16777214 75 4 10705810 10705810 0 0
# scanned=647206
# found=4
# cleaned=0
# scan_time=23163
sh=B6BDAD2838F80421F4EE2D41D7C892698B081374 ft=1 fh=5010d95980538949 vn="a variant of Win32/Kryptik.BLYK trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Sir Ingo\AppData\Local\Google\Desktop\Install\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\C3C1~1\01C8~1\CFFE~1\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\GoogleUpdate.exe.vir"
sh=0219A4B4A9D72329344C43ECDE75AC02699BDFD1 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.Agent.PFI trojan" ac=I fn="C:\Users\Sir Ingo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\1ebf409b-35b2ba42"
sh=E29DADBE7315F8A3D8C0D3FA4D21871A76446A42 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.Agent.PTX trojan" ac=I fn="C:\Users\Sir Ingo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\24d5a8f4-28fd75ed"
sh=E29DADBE7315F8A3D8C0D3FA4D21871A76446A42 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.Agent.PTX trojan" ac=I fn="C:\Users\Sir Ingo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\24d5a8f4-7fb3f3a0"

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-10-2013
Ran by Sir Ingo (administrator) on SIRINGO-PC on 09-10-2013 19:56:15
Running from C:\Users\Sir Ingo\Desktop
Windows Vista (TM) Home Premium Service Pack 2 (X64) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(AMD) C:\Windows\system32\atiesrxx.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Advanced Micro Devices, Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
(Creative Technology Ltd) C:\Program Files (x86)\Creative\Shared Files\CTDevSrv.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\pg_ctl.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(PostgreSQL Global Development Group) C:\Program Files (x86)\PostgreSQL\8.4\bin\postgres.exe
(Google Inc.) C:\Program Files (x86)\Google\Update\1.3.21.153\GoogleCrashHandler.exe
(Google Inc.) C:\Program Files (x86)\Google\Update\1.3.21.153\GoogleCrashHandler64.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Microsoft Corporation) C:\Windows\SysWOW64\conime.exe

==================== Registry (Whitelisted) ==================

HKLM-x32\...\Run: [ZoneAlarm] - C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe [73832 2013-03-27] (Check Point Software Technologies LTD)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [681032 2013-10-01] (Avira Operations GmbH & Co. KG)
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x9DD14FF97447CE01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&r=272
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&r=272
BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
BHO-x32: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files (x86)\Internet\Orbitdownloader\orbitcth.dll (Orbitdownloader.com)
BHO-x32: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Toolbar: HKLM-x32 - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Toolbar: HKCU - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Winsock: Catalog5 01 %SystemRoot%\System32\mswsock.dll [223232] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 01 %SystemRoot%\System32\mswsock.dll [304128] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_168.dll ()
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_8_800_168.dll ()
FF Plugin-x32: @checkpoint.com/FFApi - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll ()
FF Plugin-x32: @Google.com/GoogleEarthPlugin - C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin-x32: @java.com/DTPlugin,version=10.21.2 - C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.21.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Extension: ftd - C:\Users\Sir Ingo\AppData\Roaming\Mozilla\Firefox\profiles\extensions\ftd@ftd.com.xpi
FF HKLM\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF Extension: No Name - C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF HKLM-x32\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
FF Extension: ZoneAlarm Security Engine - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
FF HKLM-x32\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

==================== Services (Whitelisted) =================

S4 !SASCORE; C:\Program Files (x86)\Festplatte\Superantispyware\SASCORE64.EXE [143120 2013-05-23] (SUPERAntiSpyware.com)
R2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [361984 2012-07-04] (Advanced Micro Devices, Inc.)
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440392 2013-10-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440392 2013-10-01] (Avira Operations GmbH & Co. KG)
R2 CTDevice_Srv; C:\Program Files (x86)\Creative\Shared Files\CTDevSrv.exe [61440 2007-04-02] (Creative Technology Ltd)
S3 CTUPnPSv; C:\Program Files (x86)\Creative\Creative Centrale\CTUPnPSv.exe [64000 2008-05-21] (Creative Technology Ltd)
S4 IswSvc; C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe [828072 2012-11-22] (Check Point Software Technologies)
S4 RemoteAccess; C:\Windows\system32\svchost.exe [27648 2008-01-21] (Microsoft Corporation)
S2 vsmon; C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe [2447888 2013-03-27] (Check Point Software Technologies LTD)
R2 postgresql-8.4; C:/Program Files (x86)/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "D:/Hand" -w [x]

==================== Drivers (Whitelisted) ====================

R2 AODDriver4.1; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [53888 2012-03-05] (Advanced Micro Devices)
R2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [314016 2011-03-20] ()
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [105856 2013-10-01] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132600 2013-10-01] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-01] (Avira Operations GmbH & Co. KG)
S3 gdrv; C:\Windows\gdrv.sys [25640 2010-09-19] (Windows (R) Server 2003 DDK provider)
S3 gdrv; C:\Windows\gdrv.sys [25640 2010-09-19] (Windows (R) Server 2003 DDK provider)
R2 ISWKL; C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [33712 2012-11-22] (Check Point Software Technologies)
R2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [43680 2011-03-20] ()
S1 prodrv06; C:\Windows\SysWow64\drivers\prodrv06.sys [77184 2004-03-09] (Protection Technology)
S0 prohlp02; C:\Windows\SysWow64\drivers\prohlp02.sys [65504 2004-03-09] (Protection Technology)
S0 prosync1; C:\Windows\SysWow64\drivers\prosync1.sys [6944 2003-09-06] (Protection Technology)
R1 SASDIFSV; C:\Program Files (x86)\Festplatte\Superantispyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASDIFSV; C:\Program Files (x86)\Festplatte\Superantispyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files (x86)\Festplatte\Superantispyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files (x86)\Festplatte\Superantispyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S0 sfhlp01; C:\Windows\SysWow64\drivers\sfhlp01.sys [4832 2003-12-01] (Protection Technology)
S2 tandpl; C:\Windows\SysWow64\drivers\tandpl.sys [4736 2003-04-19] ()
R1 Vsdatant; C:\Windows\System32\DRIVERS\vsdatant.sys [443992 2012-12-13] (Check Point Software Technologies LTD)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27648 2008-01-21] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [x]
S0 prohlp02; System32\drivers\prohlp02.sys [x]
S0 prosync1; System32\drivers\prosync1.sys [x]
S0 sfhlp01; System32\drivers\sfhlp01.sys [x]
S2 tandpl; System32\drivers\tandpl.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-09 11:47 - 2013-10-09 11:47 - 00000342 _____ C:\Windows\PFRO.log
2013-10-08 20:34 - 2013-10-08 20:34 - 00014789 _____ C:\Users\Sir Ingo\Desktop\combofix.txt
2013-10-08 20:28 - 2013-10-08 20:28 - 00014789 _____ C:\ComboFix.txt
2013-10-08 19:50 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-10-08 19:50 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-10-08 19:50 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-10-08 19:50 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-10-08 19:48 - 2013-10-08 20:28 - 00000000 ____D C:\Qoobox
2013-10-08 19:47 - 2013-10-08 20:27 - 00000000 ____D C:\Windows\erdnt
2013-10-08 19:45 - 2013-10-08 19:33 - 05132072 ____R (Swearware) C:\Users\Sir Ingo\Desktop\ComboFix.exe
2013-10-08 17:06 - 2013-10-08 17:04 - 00038400 _____ C:\Users\Sir Ingo\Desktop\AVSCAN-20131008-120305-F170CF22.LOG
2013-10-07 23:01 - 2013-10-07 23:01 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder (2)
2013-10-07 22:58 - 2013-10-07 22:58 - 00000000 ____D C:\Users\Sir Ingo\Desktop\Malwarebytes' Anti-Malware
2013-10-07 22:16 - 2013-10-07 22:21 - 00002033 _____ C:\Users\Sir Ingo\Desktop\gmer text.txt
2013-10-07 21:51 - 2013-10-07 21:52 - 00022890 _____ C:\Users\Sir Ingo\Desktop\Addition.txt
2013-10-07 21:50 - 2013-10-09 11:48 - 00000000 ____D C:\FRST
2013-10-07 21:49 - 2013-10-07 21:49 - 00000478 _____ C:\Users\Sir Ingo\Desktop\defogger_disable.log
2013-10-07 21:49 - 2013-10-07 21:49 - 00000000 _____ C:\Users\Sir Ingo\defogger_reenable
2013-10-07 21:48 - 2013-10-07 21:48 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder
2013-10-07 21:48 - 2013-10-07 21:44 - 01954124 _____ (Farbar) C:\Users\Sir Ingo\Desktop\FRST64.exe
2013-10-07 21:48 - 2013-10-07 21:43 - 00050477 _____ C:\Users\Sir Ingo\Desktop\Defogger.exe
2013-10-07 21:48 - 2013-10-07 20:08 - 00377856 _____ C:\Users\Sir Ingo\Desktop\gmer_2.1.19163.exe
2013-10-06 22:34 - 2013-10-06 22:34 - 00002017 _____ C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\SUPERAntiSpyware.com
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-10-06 22:32 - 2013-10-06 22:32 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-10-06 21:00 - 2013-10-06 21:00 - 00005572 _____ C:\Users\aefaea\Documents\cc_20131006_210016.reg
2013-10-06 20:51 - 2013-10-06 20:55 - 00000732 _____ C:\Users\aefaea\AppData\Local\d3d9caps64.dat
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\Documents\My Digital Editions
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\AppData\Local\Adobe_Systems_Incorporate
2013-09-30 20:46 - 2013-09-30 20:46 - 00002013 _____ C:\Users\Public\Desktop\Adobe Digital Editions 2.0.lnk
2013-09-30 19:59 - 2013-09-30 19:59 - 00001042 _____ C:\Users\Sir Ingo\Desktop\TREESIZE.lnk
2013-09-29 14:12 - 2013-09-29 14:12 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\IrfanView
2013-09-29 13:34 - 2013-09-29 13:34 - 00003044 _____ C:\Windows\System32\Tasks\{A4C3FB77-A51E-4046-970C-99C06E7FB587}
2013-09-28 23:05 - 2013-09-28 23:05 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\JAM Software
2013-09-20 19:46 - 2013-07-31 15:29 - 02312704 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-09-20 19:46 - 2013-07-31 15:20 - 01346560 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-09-20 19:46 - 2013-07-31 15:19 - 01392128 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-09-20 19:46 - 2013-07-31 15:18 - 01494528 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-09-20 19:46 - 2013-07-31 15:17 - 00237056 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-09-20 19:46 - 2013-07-31 15:16 - 00085504 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-09-20 19:46 - 2013-07-31 15:14 - 00173056 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-09-20 19:46 - 2013-07-31 15:13 - 00816640 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-09-20 19:46 - 2013-07-31 15:13 - 00599040 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2013-09-20 19:46 - 2013-07-31 15:11 - 00729088 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-09-20 19:46 - 2013-07-31 15:09 - 00096768 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-09-20 19:46 - 2013-07-31 15:08 - 02382848 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-09-20 19:46 - 2013-07-31 15:05 - 00248320 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-09-20 19:46 - 2013-07-31 12:00 - 01800704 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-09-20 19:46 - 2013-07-31 11:53 - 01104896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-09-20 19:46 - 2013-07-31 11:52 - 01427968 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-09-20 19:46 - 2013-07-31 11:52 - 01129472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-09-20 19:46 - 2013-07-31 11:51 - 00231936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-09-20 19:46 - 2013-07-31 11:49 - 00065024 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-09-20 19:46 - 2013-07-31 11:48 - 00717824 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-09-20 19:46 - 2013-07-31 11:48 - 00420864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-09-20 19:46 - 2013-07-31 11:48 - 00142848 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-09-20 19:46 - 2013-07-31 11:47 - 00607744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-09-20 19:46 - 2013-07-31 11:45 - 02382848 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-09-20 19:46 - 2013-07-31 11:45 - 00073216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-09-20 19:46 - 2013-07-31 11:42 - 00176640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-09-20 19:45 - 2013-08-08 04:03 - 02775552 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-09-20 19:45 - 2013-08-02 16:06 - 01706496 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-09-20 19:45 - 2013-08-02 06:09 - 01548288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WMVDECOD.DLL
2013-09-20 19:45 - 2013-07-31 16:17 - 17833472 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-09-20 19:45 - 2013-07-31 15:42 - 10926080 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-09-20 19:45 - 2013-07-31 15:11 - 02147840 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-09-20 19:45 - 2013-07-31 12:30 - 12335104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-09-20 19:45 - 2013-07-31 12:05 - 09738752 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-09-20 19:45 - 2013-07-31 11:46 - 01796096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-09-20 19:45 - 2013-07-16 11:25 - 00689152 _____ (Microsoft Corporation) C:\Windows\system32\themeui.dll
2013-09-20 19:45 - 2013-07-16 06:35 - 00615936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\themeui.dll
2013-09-13 16:02 - 2013-09-13 16:02 - 00002115 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-09-13 16:00 - 2013-10-09 19:05 - 00001114 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-09-13 16:00 - 2013-10-09 16:05 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-09-13 16:00 - 2013-10-06 16:00 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Google
2013-09-13 16:00 - 2013-10-06 16:00 - 00000000 ____D C:\Program Files (x86)\Google
2013-09-13 16:00 - 2013-09-13 16:00 - 00004110 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2013-09-13 16:00 - 2013-09-13 16:00 - 00003858 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore

==================== One Month Modified Files and Folders =======

2013-10-09 19:05 - 2013-09-13 16:00 - 00001114 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-10-09 18:06 - 2006-11-02 17:22 - 00003744 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-09 18:06 - 2006-11-02 17:22 - 00003744 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-09 16:05 - 2013-09-13 16:00 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-10-09 12:10 - 2006-11-02 14:46 - 00769000 _____ C:\Windows\system32\PerfStringBackup.INI
2013-10-09 12:09 - 2008-01-21 03:53 - 01923742 _____ C:\Windows\WindowsUpdate.log
2013-10-09 12:06 - 2006-11-02 17:42 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-09 12:05 - 2006-11-02 17:42 - 00032620 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-10-09 11:48 - 2013-10-07 21:50 - 00000000 ____D C:\FRST
2013-10-09 11:47 - 2013-10-09 11:47 - 00000342 _____ C:\Windows\PFRO.log
2013-10-08 20:34 - 2013-10-08 20:34 - 00014789 _____ C:\Users\Sir Ingo\Desktop\combofix.txt
2013-10-08 20:28 - 2013-10-08 20:28 - 00014789 _____ C:\ComboFix.txt
2013-10-08 20:28 - 2013-10-08 19:48 - 00000000 ____D C:\Qoobox
2013-10-08 20:28 - 2006-11-02 15:33 - 00000000 __RHD C:\Users\Default
2013-10-08 20:27 - 2013-10-08 19:47 - 00000000 ____D C:\Windows\erdnt
2013-10-08 20:23 - 2006-11-02 14:34 - 00000215 _____ C:\Windows\system.ini
2013-10-08 19:33 - 2013-10-08 19:45 - 05132072 ____R (Swearware) C:\Users\Sir Ingo\Desktop\ComboFix.exe
2013-10-08 17:04 - 2013-10-08 17:06 - 00038400 _____ C:\Users\Sir Ingo\Desktop\AVSCAN-20131008-120305-F170CF22.LOG
2013-10-07 23:01 - 2013-10-07 23:01 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder (2)
2013-10-07 22:58 - 2013-10-07 22:58 - 00000000 ____D C:\Users\Sir Ingo\Desktop\Malwarebytes' Anti-Malware
2013-10-07 22:21 - 2013-10-07 22:16 - 00002033 _____ C:\Users\Sir Ingo\Desktop\gmer text.txt
2013-10-07 21:52 - 2013-10-07 21:51 - 00022890 _____ C:\Users\Sir Ingo\Desktop\Addition.txt
2013-10-07 21:49 - 2013-10-07 21:49 - 00000478 _____ C:\Users\Sir Ingo\Desktop\defogger_disable.log
2013-10-07 21:49 - 2013-10-07 21:49 - 00000000 _____ C:\Users\Sir Ingo\defogger_reenable
2013-10-07 21:49 - 2010-08-04 19:32 - 00000000 ____D C:\Users\Sir Ingo
2013-10-07 21:48 - 2013-10-07 21:48 - 00000000 ____D C:\Users\Sir Ingo\Desktop\New Folder
2013-10-07 21:44 - 2013-10-07 21:48 - 01954124 _____ (Farbar) C:\Users\Sir Ingo\Desktop\FRST64.exe
2013-10-07 21:43 - 2013-10-07 21:48 - 00050477 _____ C:\Users\Sir Ingo\Desktop\Defogger.exe
2013-10-07 20:08 - 2013-10-07 21:48 - 00377856 _____ C:\Users\Sir Ingo\Desktop\gmer_2.1.19163.exe
2013-10-06 22:34 - 2013-10-06 22:34 - 00002017 _____ C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\SUPERAntiSpyware.com
2013-10-06 22:34 - 2013-10-06 22:34 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-10-06 22:34 - 2012-06-25 23:19 - 00000000 ____D C:\Program Files (x86)\Festplatte
2013-10-06 22:32 - 2013-10-06 22:32 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-10-06 22:31 - 2013-06-27 00:30 - 00003975 _____ C:\Windows\setupact.log
2013-10-06 21:34 - 2006-11-02 17:21 - 00232056 _____ C:\Windows\system32\FNTCACHE.DAT
2013-10-06 21:00 - 2013-10-06 21:00 - 00005572 _____ C:\Users\aefaea\Documents\cc_20131006_210016.reg
2013-10-06 20:55 - 2013-10-06 20:51 - 00000732 _____ C:\Users\aefaea\AppData\Local\d3d9caps64.dat
2013-10-06 20:17 - 2013-01-30 20:34 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\HoldemManager
2013-10-06 20:06 - 2012-06-22 23:08 - 00003706 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{48F17EDA-5149-4FF2-BA05-5AE15C050392}
2013-10-06 19:33 - 2010-08-04 19:32 - 00001460 _____ C:\Users\Sir Ingo\AppData\Local\d3d9caps64.dat
2013-10-06 16:00 - 2013-09-13 16:00 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Google
2013-10-06 16:00 - 2013-09-13 16:00 - 00000000 ____D C:\Program Files (x86)\Google
2013-10-03 17:59 - 2012-06-02 18:40 - 00000000 ____D C:\Users\Public\Documents\STALKER-SHOC
2013-10-03 14:45 - 2012-07-14 12:00 - 00000000 ____D C:\Users\Sir Ingo\.umplayer
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\Documents\My Digital Editions
2013-10-03 00:40 - 2013-10-03 00:40 - 00000000 ____D C:\Users\aefaea\AppData\Local\Adobe_Systems_Incorporate
2013-10-02 20:46 - 2013-03-13 15:33 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\Mozilla
2013-10-01 11:37 - 2013-06-26 20:29 - 00132600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2013-10-01 11:37 - 2013-06-26 20:29 - 00105856 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2013-10-01 11:37 - 2013-06-26 20:29 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys
2013-09-30 20:46 - 2013-09-30 20:46 - 00002013 _____ C:\Users\Public\Desktop\Adobe Digital Editions 2.0.lnk
2013-09-30 19:59 - 2013-09-30 19:59 - 00001042 _____ C:\Users\Sir Ingo\Desktop\TREESIZE.lnk
2013-09-29 14:12 - 2013-09-29 14:12 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\IrfanView
2013-09-29 13:43 - 2010-08-05 19:01 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2013-09-29 13:34 - 2013-09-29 13:34 - 00003044 _____ C:\Windows\System32\Tasks\{A4C3FB77-A51E-4046-970C-99C06E7FB587}
2013-09-28 23:05 - 2013-09-28 23:05 - 00000000 ____D C:\Users\Sir Ingo\AppData\Roaming\JAM Software
2013-09-27 20:01 - 2013-01-06 16:13 - 00000000 ____D C:\Users\Sir Ingo\Desktop\Filme Musik Massage
2013-09-23 19:49 - 2012-06-23 19:36 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-09-23 19:49 - 2012-06-23 19:36 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-09-23 19:49 - 2011-04-14 23:06 - 00000000 ____D C:\Users\Sir Ingo\AppData\Local\Adobe
2013-09-20 19:49 - 2013-07-23 13:23 - 00000000 ____D C:\Windows\system32\MRT
2013-09-20 19:46 - 2006-11-02 14:35 - 79143768 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-09-13 16:02 - 2013-09-13 16:02 - 00002115 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-09-13 16:00 - 2013-09-13 16:00 - 00004110 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2013-09-13 16:00 - 2013-09-13 16:00 - 00003858 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore

Some content of TEMP:
====================
C:\Users\Sir Ingo\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-10-09 12:12

==================== End Of Log ============================

--- --- ---

aharonov · 09.10.2013, 21:14

Hallo,

die Funde von ESET sind alle irrelevant (da inaktiv).

Zitat:

ich konnte vom schadhaften Computer nicht auf meinen Thread bei euch antworten. Ich bekam immer die Meldung, daß das Sicherheitstoken abgelaufen ist. Auch das Einloggen musste ich mehrmals wiederholen.

Kannst du mir das bitte genauer beschreiben? Wo und wann genau kommt was für eine Fehlermeldung (im Wortlaut)?

Samsodong · 10.10.2013, 17:28

Hallo,

mit dem Internet Explorer funkioniert alles bestens. Einloggen, Nachrichten posten (diese hier), funkioniert einwandfrei. Er zeigt auch rechts oben die richtige Zeit an, wann mein letzter Besuch war. Keine Probleme soweit.

Ich werde jetzt das Selbe nochmal mit Opera probieren und dir berichten, denn da hat es nicht funkioniert.

Bis gleich.

Jetzt das Anmelden beim Trojaner Board mit Opera

1. Anmelden OK
Willkommen Samsodong
Ihr letzter Besuch, heute 17:32
so weit alles Ok

2. Klick auf Meine Themen
Ihre Suchanfrage erzielte keine Treffer. Bitte versuchen Sie es mit anderen Suchbegriffen.
Willkommen Samsodong
Ihr letzter Besuch, heute 16:39

3. Klick auf Trojaner Board Symbol links oben
Willkommen Samsodong
Ihr letzter Besuch, heute 17:32

4. Klick auf Loganalyse
und ich bin wieder ausgeloggt, weder Name noch Zeit wird angezeigt

Wenn ich meinen Thread manuell suche, zeigt er mir bei Antworten nur 3 an und als letzter Besuch 11:36

Ich bekomme ein altes Bild unserer Kommunikation angezeigt, vielleicht befinde ich mich ja in einem Zeitloch?

Ich bekomme sogar eine Yahoo Startseite von Sonntag, 6.10. als die Probleme anfingen. Vielleicht sollte ich Opera neu installieren?

Diesen Text habe ich wieder mit dem Explorer gesendet.

aharonov · 10.10.2013, 20:08

Hallo,

wenn es mit dem Internet Explorer problemlos funktioniert, dann ist es eher kein generelles Problem..

Zitat:

Vielleicht sollte ich Opera neu installieren?

Genau, mach das mal. Läuft es danach besser?

Samsodong · 11.10.2013, 21:18

Hallo,

ich hab Opera neu installiert und es scheint jetzt wieder alles in Ordnung mit beiden Browsern.

Antivir und Malwarebyte habe ich auch laufen lassen und sie finden die Sachen in den Quarantäne Ordnern. Ich hoffe daß dies OK ist.

Was mache ich eigentlich mit den Ordnern?
Und soll ich noch andere Programme laufen lassen?

Code:

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.09.02

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Sir Ingo :: SIRINGO-PC [Administrator]

11.10.2013 19:57:54
MBAM-log-2013-10-11 (20-45-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 452836
Laufzeit: 46 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\Software\1ClickDownload (PUP.Optional.1ClickDownload.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Plus-HD-2.2 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\FRST\Quarantine\Plus-HD-2.2\Plus-HD-2.2-bho.dll (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\FRST\Quarantine\Plus-HD-2.2\Plus-HD-2.2-buttonutil.dll (PUP.Optional.Crossrider) -> Keine Aktion durchgeführt.
C:\FRST\Quarantine\Plus-HD-2.2\Plus-HD-2.2-buttonutil.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\FRST\Quarantine\Plus-HD-2.2\Plus-HD-2.2-buttonutil64.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\FRST\Quarantine\Plus-HD-2.2\Plus-HD-2.2-codedownloader.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\FRST\Quarantine\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\FRST\Quarantine\Plus-HD-2.2\utils.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.

(Ende)

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Friday, October 11, 2013  15:53


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SIRINGO-PC

Versionsinformationen:
BUILD.DAT      : 14.0.0.383     55392 Bytes  30.09.2013 11:01:00
AVSCAN.EXE     : 14.0.0.383    968776 Bytes  01.10.2013 09:37:33
AVSCANRC.DLL   : 14.0.0.225     62024 Bytes  01.10.2013 09:37:33
LUKE.DLL       : 14.0.0.383     65096 Bytes  01.10.2013 09:37:38
AVSCPLR.DLL    : 14.0.0.383     92232 Bytes  01.10.2013 09:37:33
AVREG.DLL      : 14.0.0.383    250440 Bytes  01.10.2013 09:37:33
avlode.dll     : 14.0.0.383    512584 Bytes  01.10.2013 09:37:33
avlode.rdf     : 13.0.1.42      26846 Bytes  28.08.2013 09:11:03
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 18:27:44
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 18:27:45
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 18:27:46
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 18:27:47
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 10:05:52
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 10:59:06
VBASE006.VDF   : 7.11.103.230  2293248 Bytes  24.09.2013 10:44:47
VBASE007.VDF   : 7.11.103.231     2048 Bytes  24.09.2013 10:44:47
VBASE008.VDF   : 7.11.103.232     2048 Bytes  24.09.2013 10:44:47
VBASE009.VDF   : 7.11.103.233     2048 Bytes  24.09.2013 10:44:47
VBASE010.VDF   : 7.11.103.234     2048 Bytes  24.09.2013 10:44:47
VBASE011.VDF   : 7.11.103.235     2048 Bytes  24.09.2013 10:44:47
VBASE012.VDF   : 7.11.103.236     2048 Bytes  24.09.2013 10:44:47
VBASE013.VDF   : 7.11.103.237     2048 Bytes  24.09.2013 10:44:47
VBASE014.VDF   : 7.11.104.123   282112 Bytes  26.09.2013 10:33:31
VBASE015.VDF   : 7.11.104.237   359424 Bytes  28.09.2013 16:03:30
VBASE016.VDF   : 7.11.105.103   195072 Bytes  02.10.2013 11:22:00
VBASE017.VDF   : 7.11.105.243   571904 Bytes  07.10.2013 09:17:16
VBASE018.VDF   : 7.11.106.91   185856 Bytes  08.10.2013 09:17:16
VBASE019.VDF   : 7.11.106.167   183296 Bytes  09.10.2013 15:17:54
VBASE020.VDF   : 7.11.107.5    236544 Bytes  11.10.2013 13:23:16
VBASE021.VDF   : 7.11.107.6      2048 Bytes  11.10.2013 13:23:16
VBASE022.VDF   : 7.11.107.7      2048 Bytes  11.10.2013 13:23:16
VBASE023.VDF   : 7.11.107.8      2048 Bytes  11.10.2013 13:23:16
VBASE024.VDF   : 7.11.107.9      2048 Bytes  11.10.2013 13:23:16
VBASE025.VDF   : 7.11.107.10     2048 Bytes  11.10.2013 13:23:16
VBASE026.VDF   : 7.11.107.11     2048 Bytes  11.10.2013 13:23:16
VBASE027.VDF   : 7.11.107.12     2048 Bytes  11.10.2013 13:23:16
VBASE028.VDF   : 7.11.107.13     2048 Bytes  11.10.2013 13:23:17
VBASE029.VDF   : 7.11.107.14     2048 Bytes  11.10.2013 13:23:17
VBASE030.VDF   : 7.11.107.15     2048 Bytes  11.10.2013 13:23:17
VBASE031.VDF   : 7.11.107.46    57856 Bytes  11.10.2013 13:23:17
Engineversion  : 8.2.12.128
AEVDF.DLL      : 8.1.3.4       102774 Bytes  26.06.2013 18:27:51
AESCRIPT.DLL   : 8.1.4.156     516478 Bytes  10.10.2013 20:47:36
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.06.2013 18:27:50
AESBX.DLL      : 8.2.16.26    1245560 Bytes  23.08.2013 12:22:11
AERDL.DLL      : 8.2.0.128     688504 Bytes  26.06.2013 18:27:50
AEPACK.DLL     : 8.3.2.30      749945 Bytes  02.10.2013 17:22:11
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes  08.08.2013 17:12:31
AEHEUR.DLL     : 8.1.4.676    6201722 Bytes  02.10.2013 17:22:11
AEHELP.DLL     : 8.1.27.6      266617 Bytes  27.08.2013 16:26:10
AEGEN.DLL      : 8.1.7.14      446839 Bytes  06.09.2013 09:00:06
AEEXP.DLL      : 8.4.1.84      344439 Bytes  10.10.2013 20:47:36
AEEMU.DLL      : 8.1.3.2       393587 Bytes  26.06.2013 18:27:49
AECORE.DLL     : 8.1.32.0      201081 Bytes  23.08.2013 12:22:09
AEBB.DLL       : 8.1.1.4        53619 Bytes  26.06.2013 18:27:48
AVWINLL.DLL    : 14.0.0.225     23624 Bytes  01.10.2013 09:37:27
AVPREF.DLL     : 14.0.0.225     48712 Bytes  01.10.2013 09:37:33
AVREP.DLL      : 14.0.0.225    175688 Bytes  01.10.2013 09:37:33
AVARKT.DLL     : 14.0.0.225    257096 Bytes  01.10.2013 09:37:31
AVEVTLOG.DLL   : 14.0.0.383    165960 Bytes  01.10.2013 09:37:32
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  26.06.2013 18:28:10
AVSMTP.DLL     : 14.0.0.225     60488 Bytes  01.10.2013 09:37:34
NETNT.DLL      : 14.0.0.225     13384 Bytes  01.10.2013 09:37:38
RCIMAGE.DLL    : 14.0.0.225   4786760 Bytes  01.10.2013 09:37:27
RCTEXT.DLL     : 14.0.0.225     67144 Bytes  01.10.2013 09:37:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, H:, I:, J:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: C:\Users\AAA\AppData\Roaming\HoldemManager, 

Beginn des Suchlaufs: Friday, October 11, 2013  15:53

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:, D:, E:, F:)'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'HDD1(H:, I:, J:)'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'Fuel.Service.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTDevSrv.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg_ctl.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler64.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1972' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Qoobox\Quarantine\C\Users\Sir Ingo\AppData\Local\Google\Desktop\Install\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\C3C1~1\01C8~1\CFFE~1\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\GoogleUpdate.exe.vir
  [FUND]      Ist das Trojanische Pferd TR/Kazy.261537
Das Verzeichnis 'C:\Users\AAA\AppData\Roaming\HoldemManager\' wurde von der Suche ausgenommen!
Beginne mit der Suche in 'D:\' <Spielekiste>
D:\pagefile.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\' <Backup>
Beginne mit der Suche in 'H:\' <BOOT>
Beginne mit der Suche in 'I:\' <BACKUP>
Beginne mit der Suche in 'J:\' <RECOVER>

Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\Users\Sir Ingo\AppData\Local\Google\Desktop\Install\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\C3C1~1\01C8~1\CFFE~1\{18fefda9-c825-4cec-4a93-f2097a68dc1f}\GoogleUpdate.exe.vir
  [FUND]      Ist das Trojanische Pferd TR/Kazy.261537
  [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Friday, October 11, 2013  19:31
Benötigte Zeit:  2:58:15 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  40051 Verzeichnisse wurden überprüft
 828903 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 828901 Dateien ohne Befall
  13515 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise
 1284600 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

aharonov · 11.10.2013, 22:51

Hallo,

diese Funde sind allesamt nicht mehr relevant.
Wir räumen jetzt noch alles auf.

Schritt 1

Lade dir

TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

Öffne die TFC.exe.
Vista und Win 7 User mit Rechtsklick "als Administrator starten".
Schließe alle anderen Programme.
Drücke auf den Button Start.
Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 40.

Gehe zu
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
Start --> Systemsteuerung --> Software (bei Win XP)
und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

Lade dir die neueste Java-Version herunter.
Schliesse alle laufenden Programme, speziell den Browser.
Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 3

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

Deinstalliere bitte deine aktuelle Version von Adobe Reader über
Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)
Besuche diese Seite von Adobe.
Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.

Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

Starte defogger und drücke den Button Re-enable.
Deaktiviere jetzt temporär das Antivirenprogramm, benenne bei der auf dem Desktop vorhandenen Combofix.exe das "Combofix" im Dateinamen um in Uninstall und führe sie mit Doppelklick aus.
Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
- Schliesse alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus.

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.

Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:

Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.

Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.

Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Es gibt kommerzielle Versionen, aber ein kostenloser Scanner mit den Grundfunktionen wie beispielsweise Avast! Free Antivirus sollte ausreichen. Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:

NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.

Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).

Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.

Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:

Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.

Samsodong · 13.10.2013, 18:37

Hallo,

so, alles wieder aufgeräumt. Alles funkioniert wieder so wie es soll. Avira und Mbam finden auch nichts mehr.

Spende ist auch überwiesen.

Dann bleibt mir jetzt nur noch dir nochmal zu danken und recht zu geben, daß wir unser nächstes Treffen ohne Viren, Trojaner und Co. machen sollten.

Alles Gute und

aharonov · 13.10.2013, 20:18

Danke für die Rückmeldung.
Und im Namen des Teams vielen Dank für die Spende!

Freut mich, dass wir helfen konnten.

Falls du dem Forum noch Verbesserungsvorschläge, Kritik oder ein Lob mitgeben möchtest, kannst du das hier tun.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.

Vista. Defender + Internet geht nicht mehr. Zaccess und Java Lamar gefunden.

Log-Analyse und Auswertung: Vista. Defender + Internet geht nicht mehr. Zaccess und Java Lamar gefunden.