DProtect - regedit: "AppInit_DLLs kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts."

Flachschippe · 21.10.2013, 18:02

Hi allerseits!
Ein Super Forum habt Ihr hier.

Zusammenfassung:
Die Meldung im Betreff will ich loswerden.

Details:

Auf einem Windows 7 Pro 32bit Rechner, der mir nicht gehört, habe ich geholfen,
Malware (qvo6, DProtect, Ask.com Toolbars) zu entfernen.
Hier hatte sich übrigens jemand vor kurzem ebenfalls eines der Mistviecher eingefangen:
http://www.trojaner-board.de/141253-...ekommen-2.html

Es verbleibt im Moment genau ein Registry- Eintrag, den will ich loswerden.

regedit.exe zeigt im Registry-Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\

Einträge für zwei DLLs, die zu DProtect gehören:

AppInit_DLLs: C:\Users\ANSTANDSBALKEN\AppData\Local\DProtect\eBP.dll,C:\Users\ANSTANDSBALKEN\AppData\Local\DProtect\eBPSD.dll

LoadAppInit_DLLs: 1

Die referenzierten DLLs sind nicht mehr dort, der erste Eintrag ist daher nicht mehr wirksam.
Den zweiten Eintrag könnte man verwenden, um den ersten zu deaktivieren - wenn er sich schreiben ließe.
Beim Versuch, die Werte der Einträge zu ändern, erhalte ich Meldungen wie diese:

"AppInit_DLLs kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts."

Leider verrät Windows nicht, welcher Art der aufgetretene Fehler ist (der Wert bleibt jedenfalls unverändert),
oder warum das passiert (zum Beispiel dass es eine Policy ist, oder so etwas).
Beim Versuch, die Einträge zu löschen, erhalte ich die gleiche Meldung.

Weiß jemand, woran das liegt, und wie ich diese Einträge ändern kann?

Es gibt Programme, die "wertvolle" Registry-Einträge irgendwie schützen, zum Beispiel meine Firewall.
Dort habe ich den Eintrag für den obigen Schlüssel deaktiviert, indem ich die letzte Komponenten in "WindowsAUSGESCHALTET" geändert habe.
Das hat leider nicht geholfen.

Im oben erwähnten verwandten Thema gibt es einen Beitrag
( http://www.trojaner-board.de/141253-...ml#post1156187 ),
in dem enthält eine der Log-Dateien eine Meldung
("HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs => Error setting value."),
die zeigt, dass der Registry-Schlüssel auch dort schreibgeschützt ist.
Das wiederum könnte heißen, dass die Malware selbst versucht, diesen Schlüssel vor Veränderung (und Reinigung) zu schützen.
Oder derjenige hat ebenfalls einen Schutzmechanismus, der ihm dazwischenfunkt. :-/

Ich habe auch schon probiert, den Eintrag im abgesicherten Modus zu entfernen.
Das schlägt mit der gleichen Meldung fehl.

Und ich habe es mit dem "Computerreparatur"-Modus versucht (entspricht Recovery Console?).
Dort erscheint der Registry-Wert von AppInit_DLLs leer - dann kann ich auch nicht versuchen, ihn zu leeren.
Anscheinend ist das eine eigene Windows-Instanz, mit eigener Registry.

Im Moment habe ich keinen Anlass, anzunehmen, dass noch ein Schädling "aktiv" ist.
Für die, die es trotzdem interessiert, hier meine Notizen, was ich alles gemacht habe:

=== QVO6 / DProtect Trojaner

==== DProtect deinstallieren

-> Ohne Erfolg => Darum ist es Malware.

Verzeichnis entfernen -> einige Dateien werden noch verwendet

==== Eine Ask Toolbar deinstalliert

- es gab aber zwei Einträge.

==== Die zweite Ask Toolbar deinstallieren

-> geht nicht, Uninstaller macht einen Rollback.
Es kommt eine französische Meldung, ich möchte bitte vorher folgende Programme beenden oder deinstallieren -
aber da folgt keine Liste.

Auf dem Rechner finden sich einige Verzeichnisse mit Namen, die mit "APN" beginnen.
In einem dieser Verzeichnisse befanden sich Log-Dateien, die auf "Ask.com" und deren Toolbar verweisen.
Alles gelöscht.

==== FTDownloader deinstalliert

==== Java 7 deinstalliert
Da ich den Verdacht hatte, dass die Ask.com-Toolbar mit der Java-Installation
mit installiert wurde.

==== Java 6 gelöscht

Hatte geglaubt, dass es für Java 6 keinen Eintrag unter "Installierte Progamme" mehr gegeben hatte.
Das war falsch, es gab noch einen Eintrag, aber leider vermultich nicht direkt neben dem alten.
Java 6 heißt einfach "Java 6", Java 7 heißt vielleicht "Oracle Java 7" oder so.

==== 1. Spybot Scan, Funde reparieren lassen

==== Registry nach DProtect durchsucht, Vorkommen entfernt.
Neustart

==== 2. Spybot Scan während Windows-Start, reparieren lassen
Neustart

==== Internet Explorer zurückgesetzt

==== Firefox neu runtergeladen und neu installiert

Ja, den kann man auch zurücksetzen, aber ich traute der installierten Version nicht,
da ich vermute, dass qvo6 bzw. DProtect mit dem Firefox-24-Installer auf das System gelangt sind.

==== Verzeichnis DProtect umbenannt und in "Quarantäne" verschoben

==== Service DPService deaktiviert

==== Resistente Registry-Schlüssel

Siehe oben in der Problembeschreibung.

==== 3. Spybot Scan, einzigen Fund (IE-"Tabs"-URL = qvo6-URL) reparieren lassen

==== CCleaner laufen lassen

==== Vorkommen aus Registry entfernt:

* qvo6
* DProtect - bis auf AppInit_DLLs :-(
* AskToolbar
* ask.com => Leider gibt "Task.Completion" und xyztask.com auch Treffer.
- Treffer für APN (-Updater)
* APN ("ganze Zeichenkette", da sonst zu viele Einträge gefunden werden, in denen "apn" nur zufällig vorkommt)
* Toolbar (keine ungewollten Funde mehr)

Einen Virenscanner habe ich auch mal auf den DProtect gehetzt,
aber die sind ja wählerisch, und interessieren sich eher selten für "Toolbars". :-/

aharonov · 22.10.2013, 00:24

Hallo,

mach bitte einen FRST-Scan:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Flachschippe · 24.10.2013, 20:22

> Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt

Das habe ich so interpretiert, dass ich beim (ersten) Scan auch "Addition" ankreuze.

Hier die Scan-Ergebnisse:

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 22-10-2013
Ran by VERWALTER (administrator) on PCA on 22-10-2013 09:23:38
Running from C:\Users\VERWALTER\Downloads\System\Security
Windows 7 Professional Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Could not list processes ===============

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [KiesTrayAgent] - C:\Program Files\Samsung\Kies\KiesTrayAgent.exe [3524536 2012-08-31] (Samsung Electronics Co., Ltd.)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [347192 2013-10-21] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [COMODO Internet Security] - C:\Program Files\COMODO\COMODO Internet Security\cfp.exe [6756048 2012-11-08] (COMODO)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [] - [x]
HKCU\...\Run: [KiesPDLR] - C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [21432 2012-08-31] ()
HKCU\...\Policies\system: [DisableLockWorkstation] 0
HKCU\...\Policies\system: [LogonHoursAction] 2
HKCU\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\NUTZER2\...\Run: [Zaqip] - C:\Users\NUTZER2\AppData\Roaming\Ifum\seno.exe
HKU\NUTZER2\...\Run: [Browser Infrastructure Helper] - C:\Users\NUTZER2\AppData\Local\Smartbar\Application\QuickShare.exe startup
HKU\NUTZER2\...\Run: [Skype] - C:\Program Files\Skype\Phone\Skype.exe [ 2013-06-21] (Skype Technologies S.A.)
HKU\NUTZER2\...\RunOnce: [FlashPlayerUpdate] - C:\Windows\system32\Macromed\Flash\FlashUtil32_11_8_800_168_Plugin.exe -update plugin
HKU\NUTZER2\...\Policies\system: [LogonHoursAction] 2
HKU\NUTZER2\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\NUTZER3\...\Policies\system: [LogonHoursAction] 2
HKU\NUTZER3\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
AppInit_DLLs: C:\Users\NUTZER2\AppData\Local\DProtect\eBP.dll,C:\Users\NUTZER2\AppData\Local\DProtect\eBPSD.dll [ 2009-07-14] ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
BHO: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll (CANON INC.)
BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
BHO: Skype Browser Helper - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
BHO: No Name - {F1AF26F8-1828-4279-ABCE-074EF3235BD7} -  No File
Toolbar: HKLM - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll (CANON INC.)
Toolbar: HKLM - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Winsock: Catalog9 01 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 03 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 04 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 05 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 06 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 07 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 08 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 19 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default
FF DefaultSearchEngine: Ixquick HTTPS
FF SelectedSearchEngine: Ixquick HTTPS
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_9_900_117.dll ()
FF Plugin: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw_1202122.dll (Adobe Systems, Inc.)
FF Plugin: @canon.com/EPPEX - C:\Program Files\Canon\My Image Garden\AddOn\CIG\npmigfpi.dll (CANON INC.)
FF Plugin: @java.com/DTPlugin,version=10.25.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll No File
FF Plugin: @microsoft.com/GENUINE - disabled No File
FF Plugin: @nvidia.com/3DVision - C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin: @nvidia.com/3DVisionStreaming - C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin: @videolan.org/vlc,version=2.0.8 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: amazon.com/AmazonMP3DownloaderPlugin - C:\Program Files\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin101753.dll (Amazon.com, Inc.)
FF SearchPlugin: C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\searchplugins\ixquick-https.xml
FF SearchPlugin: C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\searchplugins\startpage-ssl.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: requestpolicy - C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\Extensions\requestpolicy@requestpolicy.com.xpi
FF Extension: No Name - C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\Extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}.xpi
FF HKCU\...\Firefox\Extensions: [{b64982b1-d112-42b5-b1e4-d3867c4533f8}] - C:\ProgramData\Browser Manager\2.3.765.24\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension

========================== Services (Whitelisted) =================

R2 AAV UpdateService; C:\Program Files\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
R2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [622648 2013-10-21] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-10-21] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-10-21] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [815160 2013-10-21] (Avira Operations GmbH & Co. KG)
R2 cmdAgent; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [1990464 2012-11-08] (COMODO)
S4 nvUpdatusService; C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2253120 2011-11-19] (NVIDIA Corporation)
R2 SBSDWSCService; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [88840 2013-09-04] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136672 2013-09-04] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-30] (Avira Operations GmbH & Co. KG)
R0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-14] (Microsoft Corporation)
R1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [494416 2012-11-08] (COMODO)
R1 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [36072 2012-11-08] (COMODO)
R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [242240 2013-01-02] (DT Soft Ltd)
R1 inspect; C:\Windows\System32\DRIVERS\inspect.sys [82952 2012-11-08] (COMODO)
R0 nvpciflt; C:\Windows\System32\DRIVERS\nvpciflt.sys [24896 2011-11-19] (NVIDIA Corporation)
R2 risdpcie; C:\Windows\System32\DRIVERS\risdpe86.sys [49152 2009-06-30] (REDC)
R2 rixdpcie; C:\Windows\System32\DRIVERS\rixdpe86.sys [38400 2009-07-04] (REDC)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-22 09:21 - 2013-10-22 09:21 - 00000000 ____D C:\FRST
2013-10-22 08:27 - 2013-10-22 08:27 - 00001016 _____ C:\Users\VERWALTER\Desktop\System - Verknüpfung.lnk
2013-10-21 20:19 - 2013-10-22 08:18 - 102303549 _____ C:\Windows\system32\➨ŠමŠÇŠÄŠ
2013-10-21 14:56 - 2013-10-21 14:56 - 00000000 _____ C:\Windows\system32\RENAD9E.tmp
2013-10-21 14:56 - 2013-10-21 14:56 - 00000000 _____ C:\Windows\system32\RENAD9D.tmp
2013-10-21 14:56 - 2013-10-21 14:56 - 00000000 _____ C:\Windows\system32\RENAD9C.tmp
2013-10-21 14:16 - 2013-10-21 14:16 - 00000000 _____ C:\Windows\system32\RENA3A3.tmp
2013-10-21 14:16 - 2013-10-21 14:16 - 00000000 _____ C:\Windows\system32\RENA3A2.tmp
2013-10-21 14:16 - 2013-10-21 14:16 - 00000000 _____ C:\Windows\system32\RENA3A1.tmp
2013-10-21 12:09 - 2009-06-10 23:39 - 00000824 _____ C:\Windows\system32\Drivers\etc\hosts.20131021-120936.backup
2013-10-21 11:27 - 2013-10-21 11:27 - 00145722 _____ C:\immudebug.log
2013-10-21 10:39 - 2013-10-21 10:39 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Mozilla
2013-10-21 10:38 - 2013-10-21 14:16 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-21 10:38 - 2013-10-21 10:38 - 00001109 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
2013-10-20 18:28 - 2013-10-20 18:28 - 00136778 _____ C:\Users\NUTZER2\Downloads\2013-10-20.xml
2013-10-11 16:48 - 2013-10-11 16:48 - 00024356 _____ C:\Users\NUTZER2\Desktop\hs_err_pid3976.log
2013-10-11 11:59 - 2013-10-11 11:59 - 00017478 _____ C:\Users\NUTZER2\Desktop\hs_err_pid1896.log
2013-10-11 08:35 - 2013-09-23 01:28 - 01767936 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-10-11 08:35 - 2013-09-23 01:28 - 01141248 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-10-11 08:35 - 2013-09-23 01:28 - 00042496 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-10-11 08:35 - 2013-09-23 01:27 - 14335488 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 13761024 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 02876928 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 02048512 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 00690688 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 00493056 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 00391168 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 00061440 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 00039424 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-10-11 08:35 - 2013-09-23 01:27 - 00033280 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-10-11 08:35 - 2013-09-21 05:30 - 02706432 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-10-11 08:35 - 2013-09-21 04:39 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2013-10-10 07:02 - 2013-09-14 02:48 - 00338944 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\afd.sys
2013-10-10 07:02 - 2013-09-08 04:07 - 01294272 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-10-10 07:02 - 2013-09-08 04:03 - 00231424 _____ (Microsoft Corporation) C:\Windows\system32\mswsock.dll
2013-10-10 07:02 - 2013-09-04 03:15 - 00258560 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys
2013-10-10 07:02 - 2013-09-04 03:14 - 00284672 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys
2013-10-10 07:02 - 2013-09-04 03:14 - 00076288 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys
2013-10-10 07:02 - 2013-09-04 03:14 - 00043008 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys
2013-10-10 07:02 - 2013-09-04 03:14 - 00024064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys
2013-10-10 07:02 - 2013-09-04 03:14 - 00020480 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys
2013-10-10 07:02 - 2013-09-04 03:14 - 00006016 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys
2013-10-10 07:02 - 2013-08-29 03:51 - 03969472 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-10-10 07:02 - 2013-08-29 03:51 - 03914176 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-10-10 07:02 - 2013-08-29 03:50 - 01289096 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2013-10-10 07:02 - 2013-08-29 03:50 - 00619520 _____ (Microsoft Corporation) C:\Windows\system32\tdh.dll
2013-10-10 07:02 - 2013-08-29 03:48 - 00640512 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2013-10-10 07:02 - 2013-08-28 03:04 - 02348544 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-10-10 07:02 - 2013-08-28 02:57 - 00434688 _____ (Microsoft Corporation) C:\Windows\system32\scavengeui.dll
2013-10-10 07:02 - 2013-08-01 13:03 - 00729024 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\dxgkrnl.sys
2013-10-10 07:02 - 2013-07-20 12:33 - 00102608 _____ (Microsoft Corporation) C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll
2013-10-10 07:02 - 2013-07-12 12:08 - 00146816 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbvideo.sys
2013-10-10 07:02 - 2013-07-12 12:07 - 00086016 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbcir.sys
2013-10-10 07:02 - 2013-07-04 13:57 - 00205824 _____ (Microsoft Corporation) C:\Windows\system32\WebClnt.dll
2013-10-10 07:02 - 2013-07-04 13:51 - 00081920 _____ (Microsoft Corporation) C:\Windows\system32\davclnt.dll
2013-10-10 07:02 - 2013-07-04 13:50 - 00530432 _____ (Microsoft Corporation) C:\Windows\system32\comctl32.dll
2013-10-10 07:02 - 2013-07-04 11:48 - 00115712 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2013-10-10 07:02 - 2013-07-03 06:02 - 00036352 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbscan.sys
2013-10-10 07:02 - 2013-07-03 05:36 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\hidclass.sys
2013-10-10 07:02 - 2013-07-03 05:36 - 00025728 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\hidparse.sys
2013-10-10 07:02 - 2013-06-26 00:56 - 00527064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\Wdf01000.sys
2013-10-10 07:02 - 2013-06-06 06:52 - 00026112 _____ (Microsoft Corporation) C:\Windows\system32\lpk.dll
2013-10-10 07:02 - 2013-06-06 06:51 - 00070656 _____ (Microsoft Corporation) C:\Windows\system32\fontsub.dll
2013-10-10 07:02 - 2013-06-06 06:50 - 00010240 _____ (Microsoft Corporation) C:\Windows\system32\dciman32.dll
2013-10-10 07:02 - 2013-06-06 05:01 - 00295424 _____ (Adobe Systems Incorporated) C:\Windows\system32\atmfd.dll
2013-10-10 07:02 - 2013-06-06 05:01 - 00034304 _____ (Adobe Systems) C:\Windows\system32\atmlib.dll
2013-10-09 17:06 - 2013-10-09 17:06 - 00263186 _____ C:\Users\NUTZER2\Desktop\Minecraft (2).exe
2013-09-30 19:44 - 2013-09-30 19:44 - 00021844 _____ C:\Users\NUTZER2\Desktop\hs_err_pid5772.log
2013-09-29 18:42 - 2013-09-29 18:42 - 00022423 _____ C:\Users\NUTZER2\Desktop\hs_err_pid1636.log

==================== One Month Modified Files and Folders =======

2013-10-22 09:23 - 2012-01-15 13:13 - 01161761 _____ C:\Windows\WindowsUpdate.log
2013-10-22 09:21 - 2013-10-22 09:21 - 00000000 ____D C:\FRST
2013-10-22 09:18 - 2012-08-31 20:07 - 00000000 ____D C:\Users\VERWALTER\Downloads\System
2013-10-22 08:39 - 2013-09-19 19:51 - 00000000 ____D C:\Users\VERWALTER\AppData\Local\Mozilla
2013-10-22 08:27 - 2013-10-22 08:27 - 00001016 _____ C:\Users\VERWALTER\Desktop\System - Verknüpfung.lnk
2013-10-22 08:27 - 2012-11-12 15:00 - 00000000 ____D C:\Users\VERWALTER\Documents\System
2013-10-22 08:18 - 2013-10-21 20:19 - 102303549 _____ C:\Windows\system32\➨ŠමŠÇŠÄŠ
2013-10-21 20:33 - 2012-01-15 13:26 - 01498742 _____ C:\Windows\system32\PerfStringBackup.INI
2013-10-21 20:19 - 2012-03-08 12:50 - 00000680 __RSH C:\Users\VERWALTER\ntuser.pol
2013-10-21 20:19 - 2012-01-15 13:25 - 00000000 ____D C:\Users\VERWALTER
2013-10-21 20:18 - 2009-07-14 06:34 - 00014256 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-21 20:18 - 2009-07-14 06:34 - 00014256 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-21 20:10 - 2012-08-31 23:25 - 00000000 ____D C:\ProgramData\NVIDIA
2013-10-21 20:10 - 2009-07-14 06:39 - 00106050 _____ C:\Windows\setupact.log
2013-10-21 14:56 - 2013-10-21 14:56 - 00000000 _____ C:\Windows\system32\RENAD9E.tmp
2013-10-21 14:56 - 2013-10-21 14:56 - 00000000 _____ C:\Windows\system32\RENAD9D.tmp
2013-10-21 14:56 - 2013-10-21 14:56 - 00000000 _____ C:\Windows\system32\RENAD9C.tmp
2013-10-21 14:16 - 2013-10-21 14:16 - 00000000 _____ C:\Windows\system32\RENA3A3.tmp
2013-10-21 14:16 - 2013-10-21 14:16 - 00000000 _____ C:\Windows\system32\RENA3A2.tmp
2013-10-21 14:16 - 2013-10-21 14:16 - 00000000 _____ C:\Windows\system32\RENA3A1.tmp
2013-10-21 14:16 - 2013-10-21 10:38 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-21 11:27 - 2013-10-21 11:27 - 00145722 _____ C:\immudebug.log
2013-10-21 10:39 - 2013-10-21 10:39 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Mozilla
2013-10-21 10:38 - 2013-10-21 10:38 - 00001109 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
2013-10-21 09:51 - 2012-11-10 23:53 - 00000000 ____D C:\ProgramData\Avira
2013-10-20 21:08 - 2012-01-20 00:04 - 00136010 _____ C:\Windows\PFRO.log
2013-10-20 20:01 - 2012-04-14 09:36 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-10-20 20:01 - 2012-04-14 09:36 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-10-20 20:01 - 2012-01-20 00:30 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-10-20 19:52 - 2013-01-01 21:09 - 00000000 ____D C:\Windows\system32\appmgmt
2013-10-20 19:16 - 2012-04-17 18:20 - 00000000 ____D C:\Users\NUTZER2\AppData\Roaming\Skype
2013-10-20 18:28 - 2013-10-20 18:28 - 00136778 _____ C:\Users\NUTZER2\Downloads\2013-10-20.xml
2013-10-20 08:33 - 2013-06-19 13:32 - 02141077 _____ () C:\Users\NUTZER2\Desktop\TechnicLauncher.exe
2013-10-20 08:33 - 2013-05-28 19:47 - 00000000 ____D C:\Users\NUTZER2\AppData\Roaming\.minecraft
2013-10-20 08:33 - 2013-04-14 06:30 - 00000000 ____D C:\Users\NUTZER2\AppData\Roaming\.technic
2013-10-19 20:31 - 2013-01-18 23:11 - 00000000 ___RD C:\Users\VERWALTER\Dropbox
2013-10-12 18:33 - 2013-05-09 08:02 - 00001695 _____ C:\Users\NUTZER2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-10-12 18:33 - 2012-03-08 20:06 - 00001665 _____ C:\Users\NUTZER2\Desktop\Internet Explorer.lnk
2013-10-12 07:25 - 2012-04-07 10:30 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Skype
2013-10-11 21:12 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-10-11 16:48 - 2013-10-11 16:48 - 00024356 _____ C:\Users\NUTZER2\Desktop\hs_err_pid3976.log
2013-10-11 14:26 - 2012-01-15 18:06 - 00000000 ____D C:\Users\VERWALTER\Documents\NUTZER0
2013-10-11 14:21 - 2012-05-21 23:24 - 00000000 ____D C:\Users\VERWALTER\Documents\NUTZER3
2013-10-11 13:46 - 2013-01-22 23:52 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Canon
2013-10-11 11:59 - 2013-10-11 11:59 - 00017478 _____ C:\Users\NUTZER2\Desktop\hs_err_pid1896.log
2013-10-11 09:54 - 2009-07-14 06:33 - 00294080 _____ C:\Windows\system32\FNTCACHE.DAT
2013-10-11 09:51 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\system32\de-DE
2013-10-11 08:40 - 2013-07-13 13:39 - 00000000 ____D C:\Windows\system32\MRT
2013-10-11 08:36 - 2012-01-15 13:53 - 78106760 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-10-09 19:59 - 2012-03-08 20:07 - 00000000 ____D C:\Users\NUTZER2\AppData\Roaming\vlc
2013-10-09 17:06 - 2013-10-09 17:06 - 00263186 _____ C:\Users\NUTZER2\Desktop\Minecraft (2).exe
2013-10-08 15:12 - 2013-06-07 16:27 - 00000000 ____D C:\Users\NUTZER2\Downloads\FTBLite
2013-10-07 19:48 - 2012-01-15 19:02 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\vlc
2013-09-30 19:44 - 2013-09-30 19:44 - 00021844 _____ C:\Users\NUTZER2\Desktop\hs_err_pid5772.log
2013-09-29 18:42 - 2013-09-29 18:42 - 00022423 _____ C:\Users\NUTZER2\Desktop\hs_err_pid1636.log
2013-09-23 19:39 - 2012-12-23 19:55 - 00000000 ____D C:\Users\NUTZER3\AppData\Roaming\vlc
2013-09-23 01:28 - 2013-10-11 08:35 - 01767936 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-09-23 01:28 - 2013-10-11 08:35 - 01141248 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-09-23 01:28 - 2013-10-11 08:35 - 00042496 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-09-23 01:27 - 2013-10-11 08:35 - 14335488 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 13761024 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 02876928 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 02048512 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 00690688 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 00493056 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 00391168 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 00061440 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 00039424 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-09-23 01:27 - 2013-10-11 08:35 - 00033280 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll

Some content of TEMP:
====================
C:\Users\VERWALTER\AppData\Local\Temp\AskSLib.dll
C:\Users\VERWALTER\AppData\Local\Temp\bi_cleaner.exe
C:\Users\VERWALTER\AppData\Local\Temp\contentDATs.exe
C:\Users\VERWALTER\AppData\Local\Temp\drm_dyndata_7400009.dll
C:\Users\VERWALTER\AppData\Local\Temp\FileSystemView.dll
C:\Users\VERWALTER\AppData\Local\Temp\jre-6u37-windows-i586-iftw.exe
C:\Users\VERWALTER\AppData\Local\Temp\jre-7u11-windows-i586-iftw.exe
C:\Users\VERWALTER\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe
C:\Users\VERWALTER\AppData\Local\Temp\jre-7u21-windows-i586-iftw.exe
C:\Users\VERWALTER\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
C:\Users\VERWALTER\AppData\Local\Temp\MSETUP4.EXE
C:\Users\VERWALTER\AppData\Local\Temp\SecurityScan_Release.exe
C:\Users\VERWALTER\AppData\Local\Temp\Shockwave_Installer_FF.exe
C:\Users\VERWALTER\AppData\Local\Temp\tbFile.dll
C:\Users\VERWALTER\AppData\Local\Temp\tmp_minecraft.exe
C:\Users\VERWALTER\AppData\Local\Temp\uninst1.exe
C:\Users\VERWALTER\AppData\Local\Temp\vlc-2.0.5-win32.exe
C:\Users\VERWALTER\AppData\Local\Temp\vlc-2.0.6-win32.exe
C:\Users\VERWALTER\AppData\Local\Temp\vlc-2.0.8-win32.exe
C:\Users\NUTZER2\AppData\Local\Temp\mgsqlite3.dll
C:\Users\NUTZER2\AppData\Local\Temp\SkypeSetup.exe
C:\Users\NUTZER2\AppData\Local\Temp\sqlite-3.7.2-sqlitejdbc.dll
C:\Users\NUTZER2\AppData\Local\Temp\tmp_minecraft.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-06-29 12:05

==================== End Of Log ============================

--- --- ---

--- --- ---

==== Addition.txt

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 22-10-2013
Ran by VERWALTER at 2013-10-22 09:28:46
Running from C:\Users\VERWALTER\Downloads\System\Security
Boot Mode: Normal
==========================================================


==================== Security Center ========================

Could not list Security Center items. Check WMI.


==================== Installed Programs ======================

7-Zip 9.20
AAVUpdateManager (Version: 18.00.0000)
Adobe Flash Player 11 ActiveX (Version: 11.7.700.224)
Adobe Flash Player 11 Plugin (Version: 11.9.900.117)
Adobe Reader X (10.1.8) - Deutsch (Version: 10.1.8)
Adobe Shockwave Player 12.0 (Version: 12.0.2.122)
Amazon MP3-Downloader 1.0.17 (Version: 1.0.17)
ArcSoft PhotoBase 3
ArcSoft PhotoStudio 5
Audacity 1.2.6
Avira Antivirus Premium (Version: 13.0.0.4052)
Canon CanoScan Toolbox 4.0
Canon Easy-WebPrint EX
Canon IJ Network Tool (Version: 3.1.0)
Canon iP7200 series Benutzerregistrierung
Canon iP7200 series On-screen Manual (Version: 7.5.0)
Canon iP7200 series Printer Driver
Canon My Image Garden (Version: 1.0.0)
Canon My Image Garden Design Files (Version: 1.0.0)
Canon My Printer (Version: 3.0.0)
Canon Quick Menu (Version: 2.0.0)
CanoScan LiDE20,30 Manual
CCleaner (Version: 3.24)
COMODO Internet Security (Version: 5.12.59641.2599)
DAEMON Tools Lite (Version: 4.46.1.0327)
Defraggler (Version: 2.11)
Dropbox (HKCU Version: 2.0.22)
Fraps
IrfanView (remove only) (Version: 4.32)
Java Auto Updater (Version: 2.1.9.5)
Java(TM) 6 Update 37 (Version: 6.0.370)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30320)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30320)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Mozilla Firefox 24.0 (x86 de) (Version: 24.0)
MPC-HC 1.6.5.6366 (Version: 1.6.5.6366)
NVIDIA 3D Vision Treiber 285.86 (Version: 285.86)
NVIDIA Grafiktreiber 285.86 (Version: 285.86)
NVIDIA Install Application (Version: 2.1002.48.261)
NVIDIA Optimus 1.5.20 (Version: 1.5.20)
NVIDIA PhysX (Version: 9.10.0513)
NVIDIA Stereoscopic 3D Driver (Version: 7.17.12.8586)
NVIDIA Systemsteuerung 285.86 (Version: 285.86)
NVIDIA Update Components (Version: 1.5.20)
OpenAL
OpenOffice.org 3.3 (Version: 3.3.9567)
Portal 2
Portal 2 Publishing Tool
QuickShare (Version: 1.6.1.796)
Recuva (Version: 1.43)
RICOH Media Driver ver.2.07.01.02 (Version: 2.07.01.02)
RICOH R5U8xx Media Driver ver.3.62.02 (Version: 3.62.02)
Rossmann Fotowelt Software 4.12.1 (Version: 4.12.1)
Samsung Kies (Version: 2.3.0.12035_16)
SAMSUNG USB Driver for Mobile Phones (Version: 1.5.9.0)
Scratch (Version: 1.4.0.0)
Skype Click to Call (Version: 6.4.11328)
Skype™ 6.6 (Version: 6.6.106)
Spybot - Search & Destroy (Version: 1.6.2)
Steuer-Sparschwein 2012 (Version: 17.11)
swMSM (Version: 12.0.0.1)
Ultra Defragmenter (Version: 5.1.1)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939v3) (Version: 3)
VLC media player 2.0.8 (Version: 2.0.8)
YouTube Downloader 3.5

==================== Restore Points  =========================

Could not list Restore Points. Check WMI.


==================== Hosts content: ==========================

2009-07-14 04:04 - 2009-06-10 23:39 - 00000824 ____N C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {0FB7019C-4498-4259-B844-492FBE479239} - System32\Tasks\Microsoft\Windows\MUI\Lpksetup => C:\Windows\System32\lpksetup.exe [2010-11-20] (Microsoft Corporation)
Task: {103E3881-BBAD-4693-83A0-3691FB709C43} - System32\Tasks\{6497DA4C-EB84-4298-8613-689BDEBFFA27} => Chrome.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/de/abandoninstall?page=tsProgressBar
Task: {24D0151D-BDA8-40A9-B336-209A3A0301D9} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe [2010-02-11] (Microsoft Corporation)
Task: {A48A4786-130C-4A92-A49F-506AC3F07D7F} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2012-10-24] (Piriform Ltd)
Task: {B84657F8-7F47-4682-83ED-13D98AD8E0E9} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-10-20] (Adobe Systems Incorporated)
Task: {FCBE83B8-50E9-48D8-9C28-E9C664DF0E62} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files\Ask.com\UpdateTask.exe
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) =============


==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Could not list Devices. Check WMI.


==================== Event log errors: =========================

Application errors:
==================
Error: (10/21/2013 02:57:48 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll

Error: (10/21/2013 02:15:38 PM) (Source: Microsoft-Windows-CAPI2) (User: )
Description: Fehler beim Kryptografiedienst während der Verarbeitung des "OnIdentity()"-Aufrufobjekts "System Writer".


Details:
AddWin32ServiceFiles: Unable to back up image of service DPService since QueryServiceConfig API failed

System Error:
Das System kann die angegebene Datei nicht finden.
.

Error: (10/20/2013 08:17:59 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll

Error: (10/20/2013 08:16:38 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll

Error: (10/20/2013 08:15:30 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation.

Error: (10/20/2013 08:04:11 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation.

Error: (10/20/2013 08:03:40 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: Kernel EML Viewer.exe, Version: 11.5.1.0, Zeitstempel: 0x4dd0b394
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000005
Fehleroffset: 0xffeeffee
ID des fehlerhaften Prozesses: 0xec8
Startzeit der fehlerhaften Anwendung: 0xKernel EML Viewer.exe0
Pfad der fehlerhaften Anwendung: Kernel EML Viewer.exe1
Pfad des fehlerhaften Moduls: Kernel EML Viewer.exe2
Berichtskennung: Kernel EML Viewer.exe3

Error: (10/20/2013 08:01:48 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation.

Error: (10/20/2013 07:54:32 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation.

Error: (10/20/2013 07:54:09 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation.


System errors:
=============
Error: (10/21/2013 02:47:33 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎21.‎10.‎2013 um 14:36:11 unerwartet heruntergefahren.

Error: (10/21/2013 02:27:12 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Netzwerklistendienst" ist vom Dienst "NLA (Network Location Awareness)" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (10/21/2013 02:26:52 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Netzwerklistendienst" ist vom Dienst "NLA (Network Location Awareness)" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (10/21/2013 02:26:52 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Netzwerklistendienst" ist vom Dienst "NLA (Network Location Awareness)" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (10/21/2013 02:26:52 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Netzwerklistendienst" ist vom Dienst "NLA (Network Location Awareness)" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (10/21/2013 02:26:52 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Netzwerklistendienst" ist vom Dienst "NLA (Network Location Awareness)" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (10/21/2013 02:26:52 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Netzwerklistendienst" ist vom Dienst "NLA (Network Location Awareness)" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (10/21/2013 02:26:52 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Netzwerklistendienst" ist vom Dienst "NLA (Network Location Awareness)" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (10/21/2013 02:26:52 PM) (Source: DCOM) (User: )
Description: 1084WSearch{9E175B6D-F52A-11D8-B9A5-505054503030}

Error: (10/21/2013 02:26:51 PM) (Source: DCOM) (User: )
Description: 1084WSearch{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}


Microsoft Office Sessions:
=========================
Error: (10/21/2013 02:57:48 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/21/2013 02:15:38 PM) (Source: Microsoft-Windows-CAPI2)(User: )
Description: 
Details:
AddWin32ServiceFiles: Unable to back up image of service DPService since QueryServiceConfig API failed

System Error:
Das System kann die angegebene Datei nicht finden.

Error: (10/20/2013 08:17:59 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/20/2013 08:16:38 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/20/2013 08:15:30 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation. (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/20/2013 08:04:11 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation. (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/20/2013 08:03:40 PM) (Source: Application Error)(User: )
Description: Kernel EML Viewer.exe11.5.1.04dd0b394unknown0.0.0.000000000c0000005ffeeffeeec801cecdbea2115aecC:\Program Files\Kernel EML Viewer\Kernel EML Viewer.exeunknownf2f15f62-39b1-11e3-b5b1-f04da27f7169

Error: (10/20/2013 08:01:48 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation. (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/20/2013 07:54:32 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation. (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/20/2013 07:54:09 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation. (NULL)(NULL)(NULL)(NULL)(NULL)


==================== Memory info =========================== 

Percentage of memory in use: 52%
Total physical RAM: 2742.59 MB
Available physical RAM: 1289.71 MB
Total Pagefile: 5483.48 MB
Available Pagefile: 3651.04 MB
Total Virtual: 2047.88 MB
Available Virtual: 1909.84 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:451.07 GB) (Free:177.06 GB) NTFS
Drive d: () (Fixed) (Total:0.04 GB) (Free:0.03 GB) FAT

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: C517343B)
Partition 1: (Not Active) - (Size=39 MB) - (Type=06)
Partition 2: (Active) - (Size=15 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=451 GB) - (Type=07 NTFS)

==================== End Of Log ============================

==== Rest von Ask-Toolbar in der Aufgabenplanung

Die Aufgabenplanung lässt sich nicht starten, da der Aufgabenplanungsdienst deaktiviert ist
(hatte ich nach Windows-Installation deaktiviert, da wir den nicht brauchen).
Der Aufgabenplanungsdienst lässt sich allerdings nicht mehr aktivieren,
in den Eigenschaften des Diensts ist die Ausklappliste ausgegraut.
Keine Ahnung, warum.
An Abhängigkeiten von anderen Diensten liegt es jedenfalls laut der Liste in den Dienst-Eigenschaften nicht.

==== Admin-Rechte

Den DProtect hat vermutlich NUTZER2 installiert.
Der hat aber gar keine Admin-Rechte.
Warum ließ Windows überhaupt zu, dass NUTZER2 Programme installiert?

Hm, sieht insgesamt nicht so gut aus.
Ich tendiere zu einer Windows-Neuinstallation.

aharonov · 24.10.2013, 23:13

Hi,

Zitat:

Ich tendiere zu einer Windows-Neuinstallation.

Wenn du diese Option wählen willst, dann mach das grad jetzt.
Ansonsten so weiter:

Schritt 1

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3

Starte noch einmal FRST.

Ändere keine der Voreinstellungen und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

Log von Adwcleaner
Log von Combofix
Log von FRST

Flachschippe · 07.11.2013, 13:24

OK, noch ein Versuch vor evtl. Neuinstallation.
Habe alles gemacht, unten die Logs.

Sehr erfreulich, dass die Registry-Schlüssel, die ich nicht schreiben durfte, nun verschwunden sind:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\:
AppInit_DLLs und LoadAppInit_DLLs sind weg.

Leider weiß ich nicht, ob ADWCleaner oder Combofix das repariert hat,
in den Logs der beiden sehe ich auf Anhieb nichts diesbezügliches.
Weiß jemand, welcher von beiden das war?

AdwCleaner hat was gefunden, insbesondere die IE-Verknüpfungen sind mir entgangen.

Unangenehm auch, dass die Neuinstallation von Firefox nicht alle Profile gereinigt hat,
bei NUTZER2 war immer noch die qvo6-URL drin (oder wieder? NUTZER2 hat sich seit der Infektion nie eingeloggt). Hoffentlich war das nur das "alte", aber nun ungenutzte Profil.

ComboFix hat beim Start, bevor das blaue Terminal-Fenster kam, einen Fehler gemeldet:

Habe auf "Ja" gedrückt, es lief dann anscheinend normal weiter.

Vielen Dank für die Anleitung.

AdwCleaner[S0]anonymized.txt:

Code:

ATTFilter

# AdwCleaner v3.011 - Bericht erstellt am 07/11/2013 um 09:11:22
# Updated 03/11/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (32 bits)
# Benutzername : VERWALTER - PCA
# Gestartet von : C:\Users\VERWALTER\Documents\System\Security\Security-Scanner\ADWCleaner\adwcleaner.3.0.1.1.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Users\VERWALTER\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Users\VERWALTER\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\VERWALTER\AppData\LocalLow\Search Settings
Datei Gelöscht : C:\Users\NUTZER2\AppData\Roaming\Mozilla\Firefox\Profiles\7etsx700.default\searchplugins\ask-search.xml
Datei Gelöscht : C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar

***** [ Verknüpfungen ] *****

Verknüpfung Desinfiziert : C:\Users\VERWALTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Verknüpfung Desinfiziert : C:\Users\VERWALTER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

***** [ Registrierungsdatenbank ] *****

Wert Gelöscht : HKCU\Software\Mozilla\Firefox\Extensions [{B64982B1-D112-42B5-B1E4-D3867C4533F8}]
[#] Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FCBE83B8-50E9-48D8-9C28-E9C664DF0E62}
[#] Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FCBE83B8-50E9-48D8-9C28-E9C664DF0E62}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\secman.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\FTDownloader
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\FTDownloader_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\FTDownloader_RASMANCS
[#] Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT3241949
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{162E06EC-4E38-4809-AE76-BF2400D34334}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F1AF26F8-1828-4279-ABCE-074EF3235BD7}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Schlüssel Gelöscht : HKCU\Software\BI
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Crossrider
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\00E944CB89111313EAF35A0553F547F9
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\53F55AF3F4049ED3FA6EA6F88E414E24
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\68E4BF4B11615E03C97732FD581AB607
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8CE3DDAB2D152683FBCEB4866BCD2B0F
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AF6CE16AFEA5C9A39B766468A8B35C21
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FB1E44269B58F433A8C8E671E37CFDCF
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9

***** [ Browser ] *****

-\\ Internet Explorer v10.0.9200.16720


-\\ Mozilla Firefox v24.0 (de)

[ Datei : C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\prefs.js ]


[ Datei : C:\Users\NUTZER2\AppData\Roaming\Mozilla\Firefox\Profiles\7etsx700.default\prefs.js ]

Zeile gelöscht : user_pref("browser.newtab.url", "hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST9500420AS_5VJEPZ66XXXX5VJEPZ66&ts=1382287703");
Zeile gelöscht : user_pref("browser.search.defaultenginename", "qvo6");
Zeile gelöscht : user_pref("browser.search.order.1", "qvo6");
Zeile gelöscht : user_pref("browser.search.selectedEngine", "qvo6");

[ Datei : C:\Users\NUTZER3\AppData\Roaming\Mozilla\Firefox\Profiles\34utp45x.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [6958 octets] - [07/11/2013 09:03:42]
AdwCleaner[S0].txt - [6627 octets] - [07/11/2013 09:11:22]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [6687 octets] ##########

ComboFix-log-anonymized.txt:

Code:

ATTFilter

ComboFix 13-11-04.01 - VERWALTER 07.11.2013   9:36.1.4 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2743.1805 [GMT 1:00]
ausgeführt von:: c:\users\VERWALTER\Desktop\ComboFix-13.11.4.1.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
FW: COMODO Firewall *Disabled* {7DB03214-694B-060B-1600-BD4715C36DBB}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: COMODO Defense+ *Disabled/Updated* {FEEA52D5-051E-08DD-07EF-2F009097607D}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\VERWALTER\4.0
c:\users\VERWALTER\AppData\Local\Temp\fbe2808e-2380-4f14-a1fa-3fa9c3a364e8\CliSecureRT.dll
c:\windows\IsUn0407.exe
c:\windows\system32\frapsvid.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-10-07 bis 2013-11-07  ))))))))))))))))))))))))))))))
.
.
2013-11-07 08:44 . 2013-11-07 09:33	--------	d-----w-	c:\users\VERWALTER\AppData\Local\temp
2013-11-07 08:44 . 2013-11-07 08:44	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2013-11-07 08:44 . 2013-11-07 08:44	--------	d-----w-	c:\users\NUTZER2\AppData\Local\temp
2013-11-07 08:44 . 2013-11-07 08:44	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-11-07 08:03 . 2013-11-07 08:11	--------	d-----w-	C:\AdwCleaner
2013-10-30 16:53 . 2013-10-30 16:53	--------	d-----w-	c:\users\NUTZER3\AppData\Roaming\IrfanView
2013-10-24 18:41 . 2013-11-07 08:12	--------	d-----w-	c:\programdata\Validity
2013-10-24 18:40 . 2013-10-24 18:40	--------	d-----w-	c:\program files\Validity Sensors
2013-10-22 13:39 . 2013-10-22 13:39	--------	d-----w-	c:\users\VERWALTER\AppData\Roaming\Malwarebytes
2013-10-22 13:38 . 2013-10-22 13:38	--------	d-----w-	c:\programdata\Malwarebytes
2013-10-22 13:37 . 2013-10-22 13:38	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2013-10-22 13:37 . 2013-04-04 12:50	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-10-22 07:21 . 2013-10-22 07:21	--------	d-----w-	C:\FRST
2013-10-21 12:56 . 2013-10-21 12:56	0	----a-w-	c:\windows\system32\RENAD9E.tmp
2013-10-21 12:56 . 2013-10-21 12:56	0	----a-w-	c:\windows\system32\RENAD9D.tmp
2013-10-21 12:56 . 2013-10-21 12:56	0	----a-w-	c:\windows\system32\RENAD9C.tmp
2013-10-21 12:16 . 2013-10-21 12:16	0	----a-w-	c:\windows\system32\RENA3A3.tmp
2013-10-21 12:16 . 2013-10-21 12:16	0	----a-w-	c:\windows\system32\RENA3A2.tmp
2013-10-21 12:16 . 2013-10-21 12:16	0	----a-w-	c:\windows\system32\RENA3A1.tmp
2013-10-11 16:52 . 2013-10-11 16:52	183912	----a-w-	c:\windows\system32\drivers\UMDF\wbf_vfs300.dll
2013-10-11 16:52 . 2013-10-11 16:52	3021416	----a-w-	c:\windows\system32\vcsAPIFORWBF.dll
2013-10-11 16:52 . 2013-10-11 16:52	29184	----a-w-	c:\windows\system32\valWBFPolicyService.exe
2013-10-10 05:02 . 2013-07-04 11:50	530432	----a-w-	c:\windows\system32\comctl32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-10-20 18:01 . 2012-04-14 07:36	692616	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-10-20 18:01 . 2012-01-19 22:30	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-09-04 14:25 . 2013-05-07 13:52	66144	----a-w-	c:\windows\system32\drivers\avnetflt.sys
2013-09-04 14:25 . 2012-11-10 21:53	88840	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-09-04 14:25 . 2012-11-10 21:53	136672	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\VERWALTER\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\VERWALTER\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\VERWALTER\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesPDLR"="c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-08-31 21432]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2012-08-31 3524536]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-10-21 347192]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2012-11-07 6756048]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux4"=wdmaud.drv
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" -autorun
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Persistence"=c:\windows\system32\igfxpers.exe
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"CanonQuickMenu"=c:\program files\Canon\Quick Menu\CNQMMAIN.EXE /logon
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2013-06-21 162408]
R3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\Drivers\ssadadb.sys [2010-12-21 30312]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2012-07-31 83168]
R3 IFTXGFUGVLMOG;IFTXGFUGVLMOG;c:\users\VERWALTER\AppData\Local\Temp\IFTXGFUGVLMOG.exe [x]
R3 NKKCJ;NKKCJ;c:\users\VERWALTER\AppData\Local\Temp\NKKCJ.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-06-02 121064]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-06-02 12776]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-06-02 136808]
R3 ssadserd;SAMSUNG Android USB Diagnostic Serial Port (WDM);c:\windows\system32\DRIVERS\ssadserd.sys [2011-06-02 114280]
R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2012-07-31 181344]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2012-08-23 49664]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2012-03-10 1343400]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [2011-11-19 24896]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2013-03-30 37352]
S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2012-11-07 494416]
S1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2012-11-07 36072]
S2 AAV UpdateService;AAV UpdateService;c:\program files\AAVUpdateManager\aavus.exe [2008-10-24 128296]
S2 AntiVirMailService;Avira Email-Schutz;c:\program files\Avira\AntiVir Desktop\avmailc.exe [2013-10-21 622648]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2013-10-21 84024]
S2 AntiVirWebService;Avira Browser-Schutz;c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2013-10-21 815160]
S2 rimspci;rimspci;c:\windows\system32\DRIVERS\rimspe86.sys [2009-07-02 47104]
S2 risdpcie;risdpcie;c:\windows\system32\DRIVERS\risdpe86.sys [2009-06-30 49152]
S2 rixdpcie;rixdpcie;c:\windows\system32\DRIVERS\rixdpe86.sys [2009-07-04 38400]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-11-19 381248]
S2 valWBFPolicyService;Validity WBF Policy Service;c:\windows\system32\valWBFPolicyService.exe [2013-10-11 29184]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-06-10 394856]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-10-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-14 18:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\
FF - prefs.js: browser.search.selectedEngine - Ixquick HTTPS
FF - ExtSQL: 2013-10-21 11:13; {455D905A-D37C-4643-A9E2-F6FEFAA0424A}; c:\users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}.xpi
FF - ExtSQL: 2013-10-21 11:13; requestpolicy@requestpolicy.com; c:\users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\extensions\requestpolicy@requestpolicy.com.xpi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
AddRemove-Canon CanoScan Toolbox 4.0 - c:\windows\IsUn0407.exe
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\program files\Samsung\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\program files\Samsung\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\program files\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\program files\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\program files\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\program files\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\program files\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-21_Searsburg - c:\program files\Samsung\USB Drivers\21_Searsburg\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\program files\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(588)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'Explorer.exe'(3680)
c:\windows\system32\guard32.dll
c:\users\VERWALTER\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
c:\windows\system32\DeviceCenter.dll
c:\windows\system32\Syncreg.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\nvvsvc.exe
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\windows\System32\WUDFHost.exe
c:\windows\system32\conhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-11-07  10:37:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-11-07 09:37
.
Vor Suchlauf: 13 Verzeichnis(se), 195.908.530.176 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 196.020.105.216 Bytes frei
.
- - End Of File - - 6AE5588D142B565CF1117F71A2270A0C
A36C5E4F47E84449FF07ED3517B43A31

2013-11-07-11-07-FRST-anonymized.txt:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 31-10-2013
Ran by VERWALTER (administrator) on PCA on 07-11-2013 11:07:04
Running from C:\Users\VERWALTER\Documents\System\Security\2013-10-20-malware\FRST
Microsoft Windows 7 Professional  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
() C:\Program Files\AAVUpdateManager\aavus.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
(Validity Sensors, Inc.) C:\Windows\system32\valWBFPolicyService.exe
(Safer Networking Ltd.) C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Farbar) C:\Users\VERWALTER\Documents\System\Security\2013-10-20-malware\FRST\FRST-3.3.8.1.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [KiesTrayAgent] - C:\Program Files\Samsung\Kies\KiesTrayAgent.exe [3524536 2012-08-31] (Samsung Electronics Co., Ltd.)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [347192 2013-10-21] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [COMODO Internet Security] - C:\Program Files\COMODO\COMODO Internet Security\cfp.exe [6756048 2012-11-07] (COMODO)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKCU\...\Run: [KiesPDLR] - C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [21432 2012-08-31] ()
HKCU\...\Policies\system: [DisableLockWorkstation] 0
HKCU\...\Policies\system: [LogonHoursAction] 2
HKCU\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\NUTZER2\...\Run: [Zaqip] - C:\Users\NUTZER2\AppData\Roaming\Ifum\seno.exe
HKU\NUTZER2\...\Run: [Browser Infrastructure Helper] - C:\Users\NUTZER2\AppData\Local\Smartbar\Application\QuickShare.exe startup
HKU\NUTZER2\...\Run: [Skype] - C:\Program Files\Skype\Phone\Skype.exe [ 2013-06-21] (Skype Technologies S.A.)
HKU\NUTZER2\...\Policies\system: [LogonHoursAction] 2
HKU\NUTZER2\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\NUTZER3\...\Policies\system: [LogonHoursAction] 2
HKU\NUTZER3\...\Policies\system: [DontDisplayLogonHoursWarnings] 1

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll (CANON INC.)
BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
Toolbar: HKLM - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll (CANON INC.)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Winsock: Catalog9 01 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 03 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 04 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 05 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 06 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 07 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 08 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 19 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default
FF DefaultSearchEngine: Ixquick HTTPS
FF SelectedSearchEngine: Ixquick HTTPS
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_9_900_117.dll ()
FF Plugin: @canon.com/EPPEX - C:\Program Files\Canon\My Image Garden\AddOn\CIG\npmigfpi.dll (CANON INC.)
FF Plugin: @java.com/DTPlugin,version=10.25.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll No File
FF Plugin: @microsoft.com/GENUINE - disabled No File
FF Plugin: @nvidia.com/3DVision - C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin: @nvidia.com/3DVisionStreaming - C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin: @videolan.org/vlc,version=2.0.8 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: amazon.com/AmazonMP3DownloaderPlugin - C:\Program Files\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin101753.dll (Amazon.com, Inc.)
FF SearchPlugin: C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\searchplugins\ixquick-https.xml
FF SearchPlugin: C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\searchplugins\startpage-ssl.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: requestpolicy - C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\Extensions\requestpolicy@requestpolicy.com.xpi
FF Extension: refcontrol - C:\Users\VERWALTER\AppData\Roaming\Mozilla\Firefox\Profiles\51zd5m6a.default\Extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}.xpi

========================== Services (Whitelisted) =================

R2 AAV UpdateService; C:\Program Files\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
R2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [622648 2013-10-21] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-10-21] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-10-21] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [815160 2013-10-21] (Avira Operations GmbH & Co. KG)
R2 cmdAgent; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [1990464 2012-11-07] (COMODO)
S4 nvUpdatusService; C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2253120 2011-11-19] (NVIDIA Corporation)
R2 SBSDWSCService; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
R2 valWBFPolicyService; C:\Windows\system32\valWBFPolicyService.exe [29184 2013-10-11] (Validity Sensors, Inc.)
S3 IFTXGFUGVLMOG; C:\Users\VERWALTER\AppData\Local\Temp\IFTXGFUGVLMOG.exe [x]
S3 NKKCJ; C:\Users\VERWALTER\AppData\Local\Temp\NKKCJ.exe [x]

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [88840 2013-09-04] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136672 2013-09-04] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-30] (Avira Operations GmbH & Co. KG)
R1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [494416 2012-11-07] (COMODO)
R1 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [36072 2012-11-07] (COMODO)
R1 inspect; C:\Windows\System32\DRIVERS\inspect.sys [82952 2012-11-07] (COMODO)
R0 nvpciflt; C:\Windows\System32\DRIVERS\nvpciflt.sys [24896 2011-11-19] (NVIDIA Corporation)
R2 risdpcie; C:\Windows\System32\DRIVERS\risdpe86.sys [49152 2009-06-30] (REDC)
R2 rixdpcie; C:\Windows\System32\DRIVERS\rixdpe86.sys [38400 2009-07-04] (REDC)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)
S3 catchme; \??\C:\Users\VERWALTER\AppData\Local\Temp\catchme.sys [x]
U3 mbr; \??\C:\Users\VERWALTER\AppData\Local\Temp\mbr.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-11-07 10:37 - 2013-11-07 10:37 - 00014245 _____ C:\ComboFix.txt
2013-11-07 09:31 - 2013-11-07 10:37 - 00000000 ____D C:\Qoobox
2013-11-07 09:31 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2013-11-07 09:31 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2013-11-07 09:31 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-11-07 09:31 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-11-07 09:31 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-11-07 09:31 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2013-11-07 09:31 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2013-11-07 09:31 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2013-11-07 09:28 - 2013-11-07 10:36 - 00000000 ____D C:\Windows\erdnt
2013-11-07 09:25 - 2013-11-07 09:01 - 05144303 ____R (Swearware) C:\Users\VERWALTER\Desktop\ComboFix-13.11.4.1.exe
2013-11-07 09:03 - 2013-11-07 09:11 - 00000000 ____D C:\AdwCleaner
2013-10-30 17:53 - 2013-10-30 17:53 - 00000000 ____D C:\Users\NUTZER3\AppData\Roaming\IrfanView
2013-10-24 19:41 - 2013-11-07 09:12 - 00000000 ____D C:\ProgramData\Validity
2013-10-24 19:41 - 2013-10-24 19:41 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_wbf_vfs300_01_09_00.Wdf
2013-10-24 19:40 - 2013-10-24 19:40 - 00000000 ____D C:\Program Files\Validity Sensors
2013-10-22 14:39 - 2013-10-22 14:39 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Malwarebytes
2013-10-22 14:38 - 2013-10-22 14:38 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-10-22 14:37 - 2013-10-22 14:38 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-10-22 14:37 - 2013-04-04 13:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-10-22 11:28 - 2013-10-22 11:28 - 00000295 _____ C:\fraglist.luar
2013-10-22 08:21 - 2013-10-22 08:21 - 00000000 ____D C:\FRST
2013-10-22 07:27 - 2013-10-22 07:27 - 00001016 _____ C:\Users\VERWALTER\Desktop\System - Verknüpfung.lnk
2013-10-21 19:19 - 2013-10-22 13:18 - 102329055 _____ C:\Windows\system32\➨ŠමŠÇŠÄŠ
2013-10-21 13:56 - 2013-10-21 13:56 - 00000000 _____ C:\Windows\system32\RENAD9E.tmp
2013-10-21 13:56 - 2013-10-21 13:56 - 00000000 _____ C:\Windows\system32\RENAD9D.tmp
2013-10-21 13:56 - 2013-10-21 13:56 - 00000000 _____ C:\Windows\system32\RENAD9C.tmp
2013-10-21 13:16 - 2013-10-21 13:16 - 00000000 _____ C:\Windows\system32\RENA3A3.tmp
2013-10-21 13:16 - 2013-10-21 13:16 - 00000000 _____ C:\Windows\system32\RENA3A2.tmp
2013-10-21 13:16 - 2013-10-21 13:16 - 00000000 _____ C:\Windows\system32\RENA3A1.tmp
2013-10-21 11:09 - 2009-06-10 22:39 - 00000824 _____ C:\Windows\system32\Drivers\etc\hosts.20131021-120936.backup
2013-10-21 10:27 - 2013-10-21 10:27 - 00145722 _____ C:\immudebug.log
2013-10-21 09:39 - 2013-10-21 09:39 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Mozilla
2013-10-21 09:38 - 2013-11-07 09:23 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-21 09:38 - 2013-10-21 09:38 - 00001109 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
2013-10-20 17:28 - 2013-10-20 17:28 - 00136778 _____ C:\Users\NUTZER2\Downloads\2013-10-20.xml
2013-10-11 17:52 - 2013-10-11 17:52 - 03021416 _____ (Validity Sensors, Inc.) C:\Windows\system32\vcsAPIFORWBF.dll
2013-10-11 17:52 - 2013-10-11 17:52 - 00029184 _____ (Validity Sensors, Inc.) C:\Windows\system32\valWBFPolicyService.exe
2013-10-11 15:48 - 2013-10-11 15:48 - 00024356 _____ C:\Users\NUTZER2\Desktop\hs_err_pid3976.log
2013-10-11 10:59 - 2013-10-11 10:59 - 00017478 _____ C:\Users\NUTZER2\Desktop\hs_err_pid1896.log
2013-10-11 07:35 - 2013-09-23 00:28 - 01767936 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-10-11 07:35 - 2013-09-23 00:28 - 01141248 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-10-11 07:35 - 2013-09-23 00:28 - 00042496 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-10-11 07:35 - 2013-09-23 00:27 - 14335488 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 13761024 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 02876928 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 02048512 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 00690688 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 00493056 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 00391168 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 00061440 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 00039424 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-10-11 07:35 - 2013-09-23 00:27 - 00033280 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-10-11 07:35 - 2013-09-21 04:30 - 02706432 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-10-11 07:35 - 2013-09-21 03:39 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2013-10-10 06:02 - 2013-09-14 01:48 - 00338944 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\afd.sys
2013-10-10 06:02 - 2013-09-08 03:07 - 01294272 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-10-10 06:02 - 2013-09-08 03:03 - 00231424 _____ (Microsoft Corporation) C:\Windows\system32\mswsock.dll
2013-10-10 06:02 - 2013-09-04 02:15 - 00258560 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys
2013-10-10 06:02 - 2013-09-04 02:14 - 00284672 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys
2013-10-10 06:02 - 2013-09-04 02:14 - 00076288 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys
2013-10-10 06:02 - 2013-09-04 02:14 - 00043008 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys
2013-10-10 06:02 - 2013-09-04 02:14 - 00024064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys
2013-10-10 06:02 - 2013-09-04 02:14 - 00020480 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys
2013-10-10 06:02 - 2013-09-04 02:14 - 00006016 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys
2013-10-10 06:02 - 2013-08-29 02:51 - 03969472 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-10-10 06:02 - 2013-08-29 02:51 - 03914176 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-10-10 06:02 - 2013-08-29 02:50 - 01289096 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2013-10-10 06:02 - 2013-08-29 02:50 - 00619520 _____ (Microsoft Corporation) C:\Windows\system32\tdh.dll
2013-10-10 06:02 - 2013-08-29 02:48 - 00640512 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2013-10-10 06:02 - 2013-08-28 02:04 - 02348544 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-10-10 06:02 - 2013-08-28 01:57 - 00434688 _____ (Microsoft Corporation) C:\Windows\system32\scavengeui.dll
2013-10-10 06:02 - 2013-08-01 12:03 - 00729024 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\dxgkrnl.sys
2013-10-10 06:02 - 2013-07-20 11:33 - 00102608 _____ (Microsoft Corporation) C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll
2013-10-10 06:02 - 2013-07-12 11:08 - 00146816 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbvideo.sys
2013-10-10 06:02 - 2013-07-12 11:07 - 00086016 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbcir.sys
2013-10-10 06:02 - 2013-07-04 12:57 - 00205824 _____ (Microsoft Corporation) C:\Windows\system32\WebClnt.dll
2013-10-10 06:02 - 2013-07-04 12:51 - 00081920 _____ (Microsoft Corporation) C:\Windows\system32\davclnt.dll
2013-10-10 06:02 - 2013-07-04 12:50 - 00530432 _____ (Microsoft Corporation) C:\Windows\system32\comctl32.dll
2013-10-10 06:02 - 2013-07-04 10:48 - 00115712 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2013-10-10 06:02 - 2013-07-03 05:02 - 00036352 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbscan.sys
2013-10-10 06:02 - 2013-07-03 04:36 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\hidclass.sys
2013-10-10 06:02 - 2013-07-03 04:36 - 00025728 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\hidparse.sys
2013-10-10 06:02 - 2013-06-25 23:56 - 00527064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\Wdf01000.sys
2013-10-10 06:02 - 2013-06-06 05:52 - 00026112 _____ (Microsoft Corporation) C:\Windows\system32\lpk.dll
2013-10-10 06:02 - 2013-06-06 05:51 - 00070656 _____ (Microsoft Corporation) C:\Windows\system32\fontsub.dll
2013-10-10 06:02 - 2013-06-06 05:50 - 00010240 _____ (Microsoft Corporation) C:\Windows\system32\dciman32.dll
2013-10-10 06:02 - 2013-06-06 04:01 - 00295424 _____ (Adobe Systems Incorporated) C:\Windows\system32\atmfd.dll
2013-10-10 06:02 - 2013-06-06 04:01 - 00034304 _____ (Adobe Systems) C:\Windows\system32\atmlib.dll
2013-10-09 16:06 - 2013-10-09 16:06 - 00263186 _____ C:\Users\NUTZER2\Desktop\Minecraft (2).exe

==================== One Month Modified Files and Folders =======

2013-11-07 10:37 - 2013-11-07 10:37 - 00014245 _____ C:\ComboFix.txt
2013-11-07 10:37 - 2013-11-07 09:31 - 00000000 ____D C:\Qoobox
2013-11-07 10:37 - 2009-07-14 03:37 - 00000000 __RHD C:\Users\Default
2013-11-07 10:37 - 2009-07-14 03:37 - 00000000 ___RD C:\Users\Public
2013-11-07 10:36 - 2013-11-07 09:28 - 00000000 ____D C:\Windows\erdnt
2013-11-07 10:33 - 2009-07-14 03:04 - 00000215 _____ C:\Windows\system.ini
2013-11-07 09:53 - 2009-07-14 05:34 - 00014256 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-11-07 09:53 - 2009-07-14 05:34 - 00014256 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-11-07 09:50 - 2012-01-15 12:26 - 01498742 _____ C:\Windows\system32\PerfStringBackup.INI
2013-11-07 09:50 - 2012-01-15 12:13 - 01329915 _____ C:\Windows\WindowsUpdate.log
2013-11-07 09:46 - 2012-08-31 22:25 - 00000000 ____D C:\ProgramData\NVIDIA
2013-11-07 09:46 - 2009-07-14 05:39 - 00107628 _____ C:\Windows\setupact.log
2013-11-07 09:45 - 2012-01-19 23:04 - 00139736 _____ C:\Windows\PFRO.log
2013-11-07 09:43 - 2012-01-15 12:25 - 00000000 ____D C:\Users\VERWALTER
2013-11-07 09:23 - 2013-10-21 09:38 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-11-07 09:12 - 2013-10-24 19:41 - 00000000 ____D C:\ProgramData\Validity
2013-11-07 09:11 - 2013-11-07 09:03 - 00000000 ____D C:\AdwCleaner
2013-11-07 09:07 - 2012-04-07 09:30 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Skype
2013-11-07 09:01 - 2013-11-07 09:25 - 05144303 ____R (Swearware) C:\Users\VERWALTER\Desktop\ComboFix-13.11.4.1.exe
2013-11-03 20:02 - 2013-01-22 22:52 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Canon
2013-11-03 13:37 - 2012-04-17 17:20 - 00000000 ____D C:\Users\NUTZER2\AppData\Roaming\Skype
2013-11-03 13:37 - 2012-03-08 19:07 - 00000000 ____D C:\Users\NUTZER2\AppData\Roaming\vlc
2013-10-30 20:13 - 2012-12-23 18:55 - 00000000 ____D C:\Users\NUTZER3\AppData\Roaming\vlc
2013-10-30 17:53 - 2013-10-30 17:53 - 00000000 ____D C:\Users\NUTZER3\AppData\Roaming\IrfanView
2013-10-30 17:17 - 2012-12-23 18:54 - 00001326 __RSH C:\Users\NUTZER3\ntuser.pol
2013-10-30 17:17 - 2012-12-23 18:54 - 00000000 ____D C:\Users\NUTZER3
2013-10-28 20:29 - 2012-01-15 18:02 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\vlc
2013-10-26 20:22 - 2012-03-08 19:06 - 00001328 __RSH C:\Users\NUTZER2\ntuser.pol
2013-10-26 20:22 - 2012-03-08 19:06 - 00000000 ____D C:\Users\NUTZER2
2013-10-26 13:00 - 2012-01-15 17:06 - 00000000 ____D C:\Users\VERWALTER\Documents\NUTZER0
2013-10-25 09:21 - 2012-01-15 17:09 - 00000000 ____D C:\Users\VERWALTER\Documents\NUTZER2
2013-10-24 19:41 - 2013-10-24 19:41 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_wbf_vfs300_01_09_00.Wdf
2013-10-24 19:40 - 2013-10-24 19:40 - 00000000 ____D C:\Program Files\Validity Sensors
2013-10-24 19:40 - 2009-07-14 05:52 - 00000000 ____D C:\Windows\system32\WinBioPlugIns
2013-10-22 15:46 - 2009-07-14 03:37 - 00000000 __RSD C:\Windows\Media
2013-10-22 14:39 - 2013-10-22 14:39 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Malwarebytes
2013-10-22 14:38 - 2013-10-22 14:38 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-10-22 14:38 - 2013-10-22 14:37 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-10-22 13:18 - 2013-10-21 19:19 - 102329055 _____ C:\Windows\system32\➨ŠමŠÇŠÄŠ
2013-10-22 11:28 - 2013-10-22 11:28 - 00000295 _____ C:\fraglist.luar
2013-10-22 10:00 - 2012-04-07 09:30 - 00000000 ___RD C:\Program Files\Skype
2013-10-22 10:00 - 2012-04-07 09:30 - 00000000 ____D C:\ProgramData\Skype
2013-10-22 09:21 - 2012-01-19 23:30 - 00000000 ____D C:\Windows\system32\Macromed
2013-10-22 09:20 - 2012-11-12 14:00 - 00000000 ____D C:\Users\VERWALTER\Documents\System
2013-10-22 09:20 - 2012-08-31 19:07 - 00000000 ____D C:\Users\VERWALTER\Downloads\System
2013-10-22 08:21 - 2013-10-22 08:21 - 00000000 ____D C:\FRST
2013-10-22 07:39 - 2013-09-19 18:51 - 00000000 ____D C:\Users\VERWALTER\AppData\Local\Mozilla
2013-10-22 07:27 - 2013-10-22 07:27 - 00001016 _____ C:\Users\VERWALTER\Desktop\System - Verknüpfung.lnk
2013-10-21 19:19 - 2012-03-08 11:50 - 00000680 __RSH C:\Users\VERWALTER\ntuser.pol
2013-10-21 13:56 - 2013-10-21 13:56 - 00000000 _____ C:\Windows\system32\RENAD9E.tmp
2013-10-21 13:56 - 2013-10-21 13:56 - 00000000 _____ C:\Windows\system32\RENAD9D.tmp
2013-10-21 13:56 - 2013-10-21 13:56 - 00000000 _____ C:\Windows\system32\RENAD9C.tmp
2013-10-21 13:16 - 2013-10-21 13:16 - 00000000 _____ C:\Windows\system32\RENA3A3.tmp
2013-10-21 13:16 - 2013-10-21 13:16 - 00000000 _____ C:\Windows\system32\RENA3A2.tmp
2013-10-21 13:16 - 2013-10-21 13:16 - 00000000 _____ C:\Windows\system32\RENA3A1.tmp
2013-10-21 10:27 - 2013-10-21 10:27 - 00145722 _____ C:\immudebug.log
2013-10-21 09:39 - 2013-10-21 09:39 - 00000000 ____D C:\Users\VERWALTER\AppData\Roaming\Mozilla
2013-10-21 09:38 - 2013-10-21 09:38 - 00001109 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
2013-10-21 08:51 - 2012-11-10 22:53 - 00000000 ____D C:\ProgramData\Avira
2013-10-20 19:01 - 2012-04-14 08:36 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-10-20 19:01 - 2012-04-14 08:36 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-10-20 19:01 - 2012-01-19 23:30 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-10-20 18:52 - 2013-01-01 20:09 - 00000000 ____D C:\Windows\system32\appmgmt
2013-10-20 17:28 - 2013-10-20 17:28 - 00136778 _____ C:\Users\NUTZER2\Downloads\2013-10-20.xml
2013-10-20 07:33 - 2013-06-19 12:32 - 02141077 _____ () C:\Users\NUTZER2\Desktop\TechnicLauncher.exe
2013-10-20 07:33 - 2013-05-28 18:47 - 00000000 ____D C:\Users\NUTZER2\AppData\Roaming\.minecraft
2013-10-20 07:33 - 2013-04-14 05:30 - 00000000 ____D C:\Users\NUTZER2\AppData\Roaming\.technic
2013-10-19 19:31 - 2013-01-18 22:11 - 00000000 ___RD C:\Users\VERWALTER\Dropbox
2013-10-12 17:33 - 2013-05-09 07:02 - 00001695 _____ C:\Users\NUTZER2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-10-12 17:33 - 2012-03-08 19:06 - 00001665 _____ C:\Users\NUTZER2\Desktop\Internet Explorer.lnk
2013-10-11 20:12 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-10-11 17:52 - 2013-10-11 17:52 - 03021416 _____ (Validity Sensors, Inc.) C:\Windows\system32\vcsAPIFORWBF.dll
2013-10-11 17:52 - 2013-10-11 17:52 - 00029184 _____ (Validity Sensors, Inc.) C:\Windows\system32\valWBFPolicyService.exe
2013-10-11 15:48 - 2013-10-11 15:48 - 00024356 _____ C:\Users\NUTZER2\Desktop\hs_err_pid3976.log
2013-10-11 13:21 - 2012-05-21 22:24 - 00000000 ____D C:\Users\VERWALTER\Documents\NUTZER3
2013-10-11 10:59 - 2013-10-11 10:59 - 00017478 _____ C:\Users\NUTZER2\Desktop\hs_err_pid1896.log
2013-10-11 08:54 - 2009-07-14 05:33 - 00294080 _____ C:\Windows\system32\FNTCACHE.DAT
2013-10-11 08:51 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\system32\de-DE
2013-10-11 07:40 - 2013-07-13 12:39 - 00000000 ____D C:\Windows\system32\MRT
2013-10-11 07:36 - 2012-01-15 12:53 - 78106760 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-10-09 16:06 - 2013-10-09 16:06 - 00263186 _____ C:\Users\NUTZER2\Desktop\Minecraft (2).exe
2013-10-08 14:12 - 2013-06-07 15:27 - 00000000 ____D C:\Users\NUTZER2\Downloads\FTBLite

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-06-29 11:05

==================== End Of Log ============================

--- --- ---

2013-11-07-11-07-Addition-anonymized.txt:

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 31-10-2013
Ran by VERWALTER at 2013-11-07 11:07:24
Running from C:\Users\VERWALTER\Documents\System\Security\2013-10-20-malware\FRST
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Avira Desktop (Disabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AS: Avira Desktop (Disabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: COMODO Defense+ (Enabled - Up to date) {FEEA52D5-051E-08DD-07EF-2F009097607D}
FW: COMODO Firewall (Enabled) {7DB03214-694B-060B-1600-BD4715C36DBB}

==================== Installed Programs ======================

7-Zip 9.20
AAVUpdateManager (Version: 18.00.0000)
Adobe Flash Player 11 ActiveX (Version: 11.7.700.224)
Adobe Flash Player 11 Plugin (Version: 11.9.900.117)
Adobe Reader X (10.1.8) - Deutsch (Version: 10.1.8)
Amazon MP3-Downloader 1.0.17 (Version: 1.0.17)
ArcSoft PhotoBase 3
ArcSoft PhotoStudio 5
Audacity 1.2.6
Avira Antivirus Premium (Version: 13.0.0.4052)
Canon Easy-WebPrint EX
Canon IJ Network Tool (Version: 3.1.0)
Canon iP7200 series Benutzerregistrierung
Canon iP7200 series On-screen Manual (Version: 7.5.0)
Canon iP7200 series Printer Driver
Canon My Image Garden (Version: 1.0.0)
Canon My Image Garden Design Files (Version: 1.0.0)
Canon My Printer (Version: 3.0.0)
Canon Quick Menu (Version: 2.0.0)
CanoScan LiDE20,30 Manual
CCleaner (Version: 3.24)
COMODO Internet Security (Version: 5.12.59641.2599)
Defraggler (Version: 2.11)
Dropbox (HKCU Version: 2.0.22)
Fraps
IrfanView (remove only) (Version: 4.32)
Java Auto Updater (Version: 2.1.9.5)
Java(TM) 6 Update 37 (Version: 6.0.370)
Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30320)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30320)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Mozilla Firefox 25.0 (x86 de) (Version: 25.0)
MPC-HC 1.6.5.6366 (Version: 1.6.5.6366)
NVIDIA 3D Vision Treiber 285.86 (Version: 285.86)
NVIDIA Grafiktreiber 285.86 (Version: 285.86)
NVIDIA Install Application (Version: 2.1002.48.261)
NVIDIA Optimus 1.5.20 (Version: 1.5.20)
NVIDIA PhysX (Version: 9.10.0513)
NVIDIA Stereoscopic 3D Driver (Version: 7.17.12.8586)
NVIDIA Systemsteuerung 285.86 (Version: 285.86)
NVIDIA Update Components (Version: 1.5.20)
OpenAL
OpenOffice.org 3.3 (Version: 3.3.9567)
Portal 2
Portal 2 Publishing Tool
QuickShare (Version: 1.6.1.796)
Recuva (Version: 1.43)
RICOH Media Driver ver.2.07.01.02 (Version: 2.07.01.02)
RICOH R5U8xx Media Driver ver.3.62.02 (Version: 3.62.02)
Rossmann Fotowelt Software 4.12.1 (Version: 4.12.1)
Samsung Kies (Version: 2.3.0.12035_16)
SAMSUNG USB Driver for Mobile Phones (Version: 1.5.9.0)
Scratch (Version: 1.4.0.0)
Skype™ 6.6 (Version: 6.6.106)
Spybot - Search & Destroy (Version: 1.6.2)
Steuer-Sparschwein 2012 (Version: 17.11)
swMSM (Version: 12.0.0.1)
Ultra Defragmenter (Version: 5.1.1)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939v3) (Version: 3)
VLC media player 2.0.8 (Version: 2.0.8)
YouTube Downloader 3.5

==================== Restore Points  =========================

22-10-2013 08:35:17 Removed Skype Click to Call
22-10-2013 08:38:12 Removed Skype Click to Call
22-10-2013 08:52:38 Removed Skype Click to Call
22-10-2013 08:54:28 Removed Skype Click to Call
24-10-2013 18:40:05 Windows Update
07-11-2013 08:32:07 ComboFix created restore point

==================== Hosts content: ==========================

2009-07-14 03:04 - 2013-11-07 09:44 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1       localhost

==================== Scheduled Tasks (whitelisted) =============

Task: {0FB7019C-4498-4259-B844-492FBE479239} - System32\Tasks\Microsoft\Windows\MUI\Lpksetup => C:\Windows\System32\lpksetup.exe [2010-11-20] (Microsoft Corporation)
Task: {103E3881-BBAD-4693-83A0-3691FB709C43} - System32\Tasks\{6497DA4C-EB84-4298-8613-689BDEBFFA27} => Chrome.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/de/abandoninstall?page=tsProgressBar
Task: {24D0151D-BDA8-40A9-B336-209A3A0301D9} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe [2010-02-11] (Microsoft Corporation)
Task: {A48A4786-130C-4A92-A49F-506AC3F07D7F} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2012-10-24] (Piriform Ltd)
Task: {B84657F8-7F47-4682-83ED-13D98AD8E0E9} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-10-20] (Adobe Systems Incorporated)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) =============

2013-10-21 09:38 - 2013-11-07 09:23 - 03368048 _____ () C:\Program Files\Mozilla Firefox\mozjs.dll
2011-11-19 07:19 - 2011-11-19 07:19 - 00265536 _____ () C:\Program Files\NVIDIA Corporation\3D Vision\Nv3DVStreaming.dll

==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: High Definition Audio-Controller
Description: High Definition Audio-Controller
Class Guid: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: HDAudBus
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (10/22/2013 09:56:48 AM) (Source: MsiInstaller) (User: NT-AUTORITÄT)
Description: Product: Skype Click to Call -- Error 1609. An error occurred while applying security settings. Users is not a valid user or group. This could be a problem with the package, or a problem connecting to a domain controller on the network. Check your network connection and click Retry, or Cancel to end the install. Unable to locate the user's SID, system error 1332(NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/22/2013 09:56:17 AM) (Source: MsiInstaller) (User: PCA)
Description: Product: Skype Click to Call -- Error 1316. A network error occurred while attempting to read from the file: C:\Windows\Installer\SkypeToolbars.msi

Error: (10/22/2013 09:53:10 AM) (Source: MsiInstaller) (User: PCA)
Description: Product: Skype Click to Call -- Error 1316. A network error occurred while attempting to read from the file: C:\Windows\Installer\SkypeToolbars.msi

Error: (10/22/2013 09:38:45 AM) (Source: MsiInstaller) (User: PCA)
Description: Product: Skype Click to Call -- Error 1316. A network error occurred while attempting to read from the file: C:\Windows\Installer\SkypeToolbars.msi

Error: (10/22/2013 09:36:11 AM) (Source: MsiInstaller) (User: PCA)
Description: Product: Skype Click to Call -- Error 1316. A network error occurred while attempting to read from the file: C:\Windows\Installer\SkypeToolbars.msi

Error: (10/21/2013 01:57:48 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll

Error: (10/21/2013 01:15:38 PM) (Source: Microsoft-Windows-CAPI2) (User: )
Description: Fehler beim Kryptografiedienst während der Verarbeitung des "OnIdentity()"-Aufrufobjekts "System Writer".


Details:
AddWin32ServiceFiles: Unable to back up image of service DPService since QueryServiceConfig API failed

System Error:
Das System kann die angegebene Datei nicht finden.
.

Error: (10/20/2013 07:17:59 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll

Error: (10/20/2013 07:16:38 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll

Error: (10/20/2013 07:15:30 PM) (Source: MsiInstaller) (User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation.


System errors:
=============
Error: (11/07/2013 09:46:25 AM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎07.‎11.‎2013 um 09:44:28 unerwartet heruntergefahren.

Error: (11/07/2013 09:44:45 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet. Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich sind. Der Dienst wird möglicherweise nicht richtig funktionieren.

Error: (11/07/2013 09:40:47 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet. Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich sind. Der Dienst wird möglicherweise nicht richtig funktionieren.

Error: (11/07/2013 09:36:19 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet. Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich sind. Der Dienst wird möglicherweise nicht richtig funktionieren.

Error: (11/04/2013 09:15:25 PM) (Source: NetBT) (User: )
Description: Der Name "WORKGROUP      :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 192.168.178.22
registriert werden. Der Computer mit IP-Adresse 192.168.178.1 hat nicht
zugelassen, dass dieser Computer diesen Namen verwendet.

Error: (11/03/2013 01:38:04 PM) (Source: DCOM) (User: )
Description: {3EB3C877-1F16-487C-9050-104DBCD66683}

Error: (10/29/2013 03:26:42 PM) (Source: DCOM) (User: )
Description: {995C996E-D918-4A8C-A302-45719A6F4EA7}

Error: (10/29/2013 03:26:11 PM) (Source: DCOM) (User: )
Description: {3EB3C877-1F16-487C-9050-104DBCD66683}

Error: (10/22/2013 02:25:13 PM) (Source: Service Control Manager) (User: )
Description: Dienst "SB" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/22/2013 01:45:18 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "SB" ist als interaktiver Dienst gekennzeichnet. Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich sind. Der Dienst wird möglicherweise nicht richtig funktionieren.


Microsoft Office Sessions:
=========================
Error: (10/22/2013 09:56:48 AM) (Source: MsiInstaller)(User: NT-AUTORITÄT)
Description: Product: Skype Click to Call -- Error 1609. An error occurred while applying security settings. Users is not a valid user or group. This could be a problem with the package, or a problem connecting to a domain controller on the network. Check your network connection and click Retry, or Cancel to end the install. Unable to locate the user's SID, system error 1332(NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/22/2013 09:56:17 AM) (Source: MsiInstaller)(User: PCA)
Description: Product: Skype Click to Call -- Error 1316. A network error occurred while attempting to read from the file: C:\Windows\Installer\SkypeToolbars.msi(NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/22/2013 09:53:10 AM) (Source: MsiInstaller)(User: PCA)
Description: Product: Skype Click to Call -- Error 1316. A network error occurred while attempting to read from the file: C:\Windows\Installer\SkypeToolbars.msi(NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/22/2013 09:38:45 AM) (Source: MsiInstaller)(User: PCA)
Description: Product: Skype Click to Call -- Error 1316. A network error occurred while attempting to read from the file: C:\Windows\Installer\SkypeToolbars.msi(NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/22/2013 09:36:11 AM) (Source: MsiInstaller)(User: PCA)
Description: Product: Skype Click to Call -- Error 1316. A network error occurred while attempting to read from the file: C:\Windows\Installer\SkypeToolbars.msi(NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/21/2013 01:57:48 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/21/2013 01:15:38 PM) (Source: Microsoft-Windows-CAPI2)(User: )
Description: 
Details:
AddWin32ServiceFiles: Unable to back up image of service DPService since QueryServiceConfig API failed

System Error:
Das System kann die angegebene Datei nicht finden.

Error: (10/20/2013 07:17:59 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/20/2013 07:16:38 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Java(TM) 6 Update 35 -- Fehler 1723. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Eine für den Abschluss der Installation erforderliche DLL konnte nicht ausgeführt werden. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: UninstallJRE, Eintrag: MSIUninstallJRE, Bibliothek: C:\Program Files\Java\jre6\bin\regutils.dll (NULL)(NULL)(NULL)(NULL)(NULL)

Error: (10/20/2013 07:15:30 PM) (Source: MsiInstaller)(User: PCA)
Description: Produkt: Ask Toolbar -- Fehler 1316. Vous devez quitter les applications ci-dessous pour pouvoir continuer l'installation. (NULL)(NULL)(NULL)(NULL)(NULL)


==================== Memory info =========================== 

Percentage of memory in use: 48%
Total physical RAM: 2742.59 MB
Available physical RAM: 1405.32 MB
Total Pagefile: 5483.48 MB
Available Pagefile: 3827.21 MB
Total Virtual: 2047.88 MB
Available Virtual: 1905.21 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:451.07 GB) (Free:182.64 GB) NTFS
Drive d: () (Fixed) (Total:0.04 GB) (Free:0.03 GB) FAT
Drive e: (BESTEXOTICMARIGOLDHOTEL) (CDROM) (Total:6.32 GB) (Free:0 GB) UDF

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: C517343B)
Partition 1: (Not Active) - (Size=39 MB) - (Type=06)
Partition 2: (Active) - (Size=15 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=451 GB) - (Type=07 NTFS)

==================== End Of Log ============================

DProtect - regedit: "AppInit_DLLs kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts."

Plagegeister aller Art und deren Bekämpfung: DProtect - regedit: "AppInit_DLLs kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts."