Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe

Asgar92 · 14.01.2014, 14:05

Guten Tag,

mein Virenscanner meldet mir in unregelmäßigen Abständen, dass der im Titelgenannte Trojaner sich auf dem Pc befindet. Bisher war es mir jedoch nicht möglich ihn über Avira oder MBAM zu entferen.
Als Symptom ist bisher lediglich zu erkennen, dass auf bisher allen USB-Wechselmedien die Datein in verknüpfungen umgewandelt wurden, während die Originale nur unter den versteckten Datein zu finden sind.

Ich danke schonmal für die Hilfe und hier nun erstmal die Logfiles.

Gmer:

Code:

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2014-01-14 13:45:16
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 Hitachi_HTS725050A9A364 rev.PC4OC72E 465,76GB
Running: ddxmqvc9.exe; Driver: C:\Users\Michi\AppData\Local\Temp\pgloypow.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528                               fffff80002dbc000 52 bytes [FF, FF, FF, FF, FF, FF, FF, ...]
INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 582                               fffff80002dbc036 27 bytes [FF, FF, FF, FF, FF, FF, FF, ...]

---- User code sections - GMER 2.1 ----

.text     C:\Windows\SysWOW64\RunDll32.exe[4740] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   0000000076081465 2 bytes [08, 76]
.text     C:\Windows\SysWOW64\RunDll32.exe[4740] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000760814bb 2 bytes [08, 76]
.text     ...                                                                                              * 2

---- Threads - GMER 2.1 ----

Thread    C:\Windows\System32\svchost.exe [4680:3084]                                                      000007feeeea9688

---- Registry - GMER 2.1 ----

Reg       HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\70f39568b236                      
Reg       HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\70f39568b236 (not active ControlSet)  

---- EOF - GMER 2.1 ----

FRST:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 13-01-2014 02
Ran by Michi (administrator) on MICHI-PC on 14-01-2014 13:32:46
Running from C:\Users\Michi\Downloads
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 11
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(AMD) C:\Windows\System32\atiesrxx.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe
(Hewlett-Packard Company) C:\Windows\System32\hpservice.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe
(Microsoft Corporation) C:\Windows\System32\wlanext.exe
(DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(DigitalPersona, Inc.) C:\Program Files (x86)\DigitalPersona\Bin\DPAgent.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe
(Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe
(Microsoft Corporation) C:\Windows\System32\wscript.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpAgent.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated)
HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-09-05] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.)
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Program Files (x86)\DigitalPersona\Bin\DPAgent.exe,
HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation)
HKCU\...\Run: [SysBackUp] - C:\Users\Michi\AppData\Roaming\SysBackUp.vbs [234620 2013-12-02] ()
HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] ()
HKCU\...\Run: [367d8aa305eb8e84cad21c38ee58cc14] - "C:\Users\Michi\AppData\Roaming\MsnMessenger.exe" ..
HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe
MountPoints2: {c231bc57-4faf-11e3-a1ff-70f39568b236} - E:\INSTALL.EXE
Lsa: [Notification Packages] DPPassFilter scecli
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs ()

==================== Internet (Whitelisted) ====================

SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=17/11/2013&type=hp1000
SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=17/11/2013&type=hp1000
SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=17/11/2013&type=hp1000
SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=17/11/2013&type=hp1000
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO-x32: Softonic Helper Object - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Program Files (x86)\Softonic\Softonic\1.8.21.14\bh\Softonic.dll (Softonic.com)
Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} -  No File
Toolbar: HKLM-x32 - Softonic Toolbar - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files (x86)\Softonic\Softonic\1.8.21.14\SoftonicTlbr.dll (Softonic.com)
Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} -  No File
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default
FF SelectedSearchEngine: Web Search
FF Homepage: https://www.facebook.com/
FF Keyword.URL: hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&fr=linkury-tb&installDate={installDate}&type=hp1000&p=
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll ()
FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll ()
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10]
FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17]
FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\
FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ []

Chrome: 
=======
Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION
CHR Extension: (Softonic Chrome Toolbar) - C:\Users\Michi\AppData\Local\Google\Chrome\User Data\default\extensions\elchiiiejkobdbblfejjkbphbddgmljf\1.0_0 [2013-11-17]
CHR HKLM-x32\...\Chrome\Extension: [elchiiiejkobdbblfejjkbphbddgmljf] - C:\Program Files (x86)\Softonic\Softonic\1.8.21.14\Softonic.crx [2013-06-11]

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd)
S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-14 13:32 - 2014-01-14 13:33 - 00011255 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-14 13:32 - 2014-01-14 13:32 - 00000472 _____ C:\Users\Michi\Downloads\defogger_disable.log
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 ____D C:\FRST
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:31 - 2014-01-14 13:31 - 02075648 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-14 13:31 - 2014-01-14 13:31 - 00050477 _____ C:\Users\Michi\Downloads\Defogger.exe
2014-01-14 13:30 - 2014-01-14 13:30 - 00377856 _____ C:\Users\Michi\Downloads\ddxmqvc9.exe
2014-01-14 12:58 - 2014-01-14 12:58 - 12319113 _____ C:\Users\Michi\Downloads\Androidwelt_05_13.zip
2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
2014-01-11 09:01 - 2014-01-14 12:40 - 00000616 _____ C:\Windows\setupact.log
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 14:58 - 2014-01-14 13:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin
2014-01-09 15:44 - 2014-01-09 15:47 - 00000000 ____D C:\ProgramData\Origin
2014-01-09 15:44 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-09 15:43 - 2014-01-09 15:43 - 16952720 _____ (Electronic Arts, Inc.) C:\Users\Michi\Downloads\OriginThinSetup.exe
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-25 23:09 - 2013-12-25 23:09 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs
2013-12-25 23:07 - 2014-01-02 10:12 - 00020539 _____ C:\Users\Michi\AppData\Roaming\MsnMessenger.exe.tmp
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url
2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll
2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll
2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-17 17:55 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-12-17 17:08 - 2013-12-02 14:08 - 00234620 ___SH C:\Users\Michi\AppData\Roaming\SysBackUp.vbs

==================== One Month Modified Files and Folders =======

2014-01-14 13:33 - 2014-01-14 13:32 - 00011255 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-14 13:32 - 2014-01-14 13:32 - 00000472 _____ C:\Users\Michi\Downloads\defogger_disable.log
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 ____D C:\FRST
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi
2014-01-14 13:31 - 2014-01-14 13:31 - 02075648 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-14 13:31 - 2014-01-14 13:31 - 00050477 _____ C:\Users\Michi\Downloads\Defogger.exe
2014-01-14 13:30 - 2014-01-14 13:30 - 00377856 _____ C:\Users\Michi\Downloads\ddxmqvc9.exe
2014-01-14 13:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-14 13:00 - 2013-11-17 17:57 - 01196005 _____ C:\Windows\WindowsUpdate.log
2014-01-14 12:58 - 2014-01-14 12:58 - 12319113 _____ C:\Users\Michi\Downloads\Androidwelt_05_13.zip
2014-01-14 12:48 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-14 12:48 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-14 12:40 - 2014-01-11 09:01 - 00000616 _____ C:\Windows\setupact.log
2014-01-14 12:40 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-13 21:56 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files
2014-01-13 21:56 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files
2014-01-13 18:05 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype
2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF
2014-01-12 19:33 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat
2014-01-12 19:33 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat
2014-01-12 19:33 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI
2014-01-12 18:23 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3
2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia
2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe
2014-01-10 14:58 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe
2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin
2014-01-10 14:37 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam
2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-09 15:47 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin
2014-01-09 15:45 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-01-09 15:44 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-09 15:43 - 2014-01-09 15:43 - 16952720 _____ (Electronic Arts, Inc.) C:\Users\Michi\Downloads\OriginThinSetup.exe
2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc
2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3
2014-01-02 10:12 - 2013-12-25 23:07 - 00020539 _____ C:\Users\Michi\AppData\Roaming\MsnMessenger.exe.tmp
2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-25 23:09 - 2013-12-25 23:09 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url
2013-12-20 22:05 - 2013-11-17 18:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-12-20 08:42 - 2013-11-17 18:26 - 00000000 ____D C:\Users\Michi\AppData\Local\Mozilla
2013-12-19 17:39 - 2013-11-17 19:03 - 00000000 ____D C:\Users\Michi\workspace
2013-12-19 14:11 - 2013-11-17 21:25 - 00000000 ____D C:\Users\Michi\Exes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-17 16:35 - 2013-11-17 18:14 - 00131576 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2013-12-17 16:35 - 2013-11-17 18:14 - 00108440 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2013-12-17 16:35 - 2013-11-17 18:14 - 00084720 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys

Some content of TEMP:
====================
C:\Users\Michi\AppData\Local\Temp\avgnt.exe
C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe
C:\Users\Michi\AppData\Local\Temp\install_flashplayer11x32_mssd_aaa_aih.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-31 19:57

==================== End Of Log ============================

Addition:

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 13-01-2014 02
Ran by Michi at 2014-01-14 13:33:47
Running from C:\Users\Michi\Downloads
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Avira Desktop (Disabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AS: Avira Desktop (Disabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

7-PDF Maker Version 1.4.1 (Build 128) (x32 Version: 7-PDF Maker - Version 1.4.1 (Build 128) - 7-PDF, Germany - Thorsten Hodes)
Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.05) - Deutsch (x32 Version: 11.0.05 - Adobe Systems Incorporated)
AIMP3 (x32 Version: v3.55.1332, 21.12.2013 - AIMP DevTeam)
AMD Catalyst Install Manager (Version: 8.0.915.0 - Advanced Micro Devices, Inc.)
AMD USB Filter Driver (x32 Version: 1.0.15.94 - Advanced Micro Devices, Inc.) Hidden
Avira Free Antivirus (x32 Version: 14.0.2.286 - Avira)
Borderlands 2 (x32 Version:  - Gearbox Software)
Broadcom 2070 Bluetooth 3.0 (Version: 6.3.0.6300 - Broadcom Corporation)
Broadcom 802.11 Wireless LAN Adapter (Version: 5.60.350.6 - Broadcom Corporation)
Catalyst Control Center - Branding (x32 Version: 1.00.0000 - ATI) Hidden
Catalyst Control Center Core Implementation (x32 Version: 2010.0416.541.8279 - ATI) Hidden
Catalyst Control Center Graphics Full Existing (x32 Version: 2010.0416.541.8279 - ATI) Hidden
Catalyst Control Center Graphics Full New (x32 Version: 2010.0416.541.8279 - ATI) Hidden
Catalyst Control Center Graphics Light (x32 Version: 2010.0416.541.8279 - ATI) Hidden
Catalyst Control Center Graphics Previews Common (x32 Version: 2010.0416.541.8279 - ATI) Hidden
Catalyst Control Center Graphics Previews Vista (x32 Version: 2010.0416.541.8279 - ATI) Hidden
Catalyst Control Center InstallProxy (x32 Version: 2013.1008.932.15229 - Advanced Micro Devices, Inc.) Hidden
Catalyst Control Center Localization All (x32 Version: 2010.0416.541.8279 - ATI) Hidden
CCC Help Chinese Standard (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Chinese Traditional (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Czech (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Danish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Dutch (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help English (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Finnish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help French (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help German (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Greek (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Hungarian (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Italian (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Japanese (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Korean (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Norwegian (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Polish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Portuguese (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Russian (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Spanish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Swedish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Thai (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
CCC Help Turkish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden
ccc-core-static (x32 Version: 2010.0416.541.8279 - Ihr Firmenname) Hidden
ccc-utility64 (Version: 2010.0416.541.8279 - ATI) Hidden
CCleaner (Version: 4.07 - Piriform)
CPUID CPU-Z 1.67.1 (Version:  - )
D3DX10 (x32 Version: 15.4.2368.0902 - Microsoft) Hidden
DAEMON Tools Lite (x32 Version: 4.48.1.0347 - Disc Soft Ltd)
Dota 2 (x32 Version:  - Valve)
Evoland (x32 Version:  - Shiro Games)
Fallout (x32 Version: 2.0.0.14 - GOG.com)
Fotogalerie (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
HP MediaSmart Webcam (x32 Version: 2.1.1208 - Hewlett-Packard)
HP MediaSmart Webcam (x32 Version: 2.1.1208 - Hewlett-Packard) Hidden
HP SimplePass Identity Protection (Version: 5.10.175 - DigitalPersona, Inc.)
IDT Audio (x32 Version: 1.0.6292.0 - IDT)
Java 7 Update 45 (64-bit) (Version: 7.0.450 - Oracle)
Kingdoms of Amalur: Reckoning (x32 Version: 1.0.0.0 - Electronic Arts)
League of Legends (x32 Version: 3.0.0 - Riot Games)
League of Legends (x32 Version: 3.0.0 - Riot Games) Hidden
MAGIX Burn routines (64-Bit) (Version: 9.0.0.212 - MAGIX AG)
MAGIX Low Latency Driver (64-Bit) (Version: 2.10.2011.0 - MAGIX AG)
MAGIX Speed burnR (MSI) (x32 Version: 7.0.1.27 - MAGIX AG)
Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300 - Malwarebytes Corporation)
Microsoft .NET Framework 4.5.1 (DEU) (Version: 4.5.50938 - Microsoft Corporation) Hidden
Microsoft .NET Framework 4.5.1 (Deutsch) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft .NET Framework 4.5.1 (Version: 4.5.50938 - Microsoft Corporation) Hidden
Microsoft Application Error Reporting (Version: 12.0.6015.5000 - Microsoft Corporation) Hidden
Microsoft SQL Server 2005 Compact Edition [ENU] (x32 Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (Version: 8.0.59192 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (Version: 8.0.61000 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (x32 Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727 (x32 Version: 11.0.50727.1 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727 (x32 Version: 11.0.50727.1 - Microsoft Corporation)
Microsoft Visual C++ 2012 x64 Additional Runtime - 11.0.50727 (Version: 11.0.50727 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2012 x64 Minimum Runtime - 11.0.50727 (Version: 11.0.50727 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2012 x86 Additional Runtime - 11.0.50727 (x32 Version: 11.0.50727 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2012 x86 Minimum Runtime - 11.0.50727 (x32 Version: 11.0.50727 - Microsoft Corporation) Hidden
Movie Maker (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Mozilla Firefox 26.0 (x86 de) (x32 Version: 26.0 - Mozilla)
Mozilla Maintenance Service (x32 Version: 26.0 - Mozilla)
MSVCRT (x32 Version: 15.4.2862.0708 - Microsoft) Hidden
MSVCRT110 (x32 Version: 16.4.1108.0727 - Microsoft) Hidden
MSVCRT110_amd64 (Version: 16.4.1109.0912 - Microsoft) Hidden
MSXML 4.0 SP3 Parser (KB2758694) (x32 Version: 4.30.2117.0 - Microsoft Corporation)
MSXML 4.0 SP3 Parser (x32 Version: 4.30.2100.0 - Microsoft Corporation)
OpenOffice 4.0.1 (x32 Version: 4.01.9714 - Apache Software Foundation)
Origin (x32 Version: 9.3.11.2762 - Electronic Arts, Inc.)
Pando Media Booster (x32 Version: 2.6.0.7 - Pando Networks Inc.)
Photo Common (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Photo Gallery (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Realtek USB 2.0 Card Reader (x32 Version: 6.1.7600.30113 - Realtek Semiconductor Corp.)
Samplitude Pro X Download Version (x32 Version: 12.0.0.59 - MAGIX AG)
Samplitude Pro X Download Version (x32 Version: 12.0.0.59 - MAGIX AG) Hidden
Skype™ 6.11 (x32 Version: 6.11.102 - Skype Technologies S.A.)
Softonic toolbar  on IE and Chrome (x32 Version: 1.8.21.14 - Softonic) <==== ATTENTION
Sonic Generations (x32 Version:  - Devil's Details)
Steam (x32 Version: 1.0.0.0 - Valve Corporation)
SUPER © v2013.build.58+Recorder (2013/11/13) Version v2013.buil (x32 Version: v2013.build.58+Recorder - eRightSoft)
Synaptics Pointing Device Driver (Version: 15.1.6.64 - Synaptics Incorporated)
The Binding of Isaac (x32 Version:  - Edmund McMillen and Florian Himsl)
Validity Sensors DDK (Version: 4.1.139.0 - Validity Sensors, Inc.)
VLC media player 2.1.1 (Version: 2.1.1 - VideoLAN)
Windows Live Communications Platform (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Windows Live Essentials (x32 Version: 16.4.3508.0205 - Microsoft Corporation)
Windows Live Essentials (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Windows Live ID Sign-in Assistant (Version: 7.250.4311.0 - Microsoft Corporation) Hidden
Windows Live Installer (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Windows Live Photo Common (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Windows Live PIMT Platform (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Windows Live SOXE (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Windows Live SOXE Definitions (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Windows Live UX Platform (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
Windows Live UX Platform Language Pack (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden
WinRAR 5.00 (64-Bit) (Version: 5.00.0 - win.rar GmbH)

==================== Restore Points  =========================

25-12-2013 18:36:05 Windows Update
31-12-2013 12:20:36 Windows Update
03-01-2014 14:18:38 Windows Update
07-01-2014 09:29:48 Windows Update
10-01-2014 13:37:55 Windows Update
10-01-2014 17:43:34 DirectX wurde installiert
14-01-2014 11:47:20 Windows Update

==================== Hosts content: ==========================

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {22A2D9CE-29F8-4EC0-AE8A-ADAC9753BD29} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-01-10] (Adobe Systems Incorporated)
Task: {B4B3E131-F67D-4A3E-93AB-82EFE2CDD814} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2013-10-22] (Piriform Ltd)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) =============

2010-07-29 19:39 - 2010-07-29 19:39 - 00173856 _____ () C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll
2010-03-09 14:34 - 2010-03-09 14:34 - 00016384 ____R () C:\Program Files (x86)\ATI Technologies\ATI.ACE\Branding\Branding.dll
2013-12-05 15:40 - 2013-12-05 15:40 - 00270336 _____ () C:\Windows\assembly\GAC_MSIL\CLI.Aspect.CrossDisplay.Graphics.Dashboard\1.0.0.0__90ba9c70f846762e\CLI.Aspect.CrossDisplay.Graphics.Dashboard.dll
2013-11-17 18:14 - 2013-10-31 19:25 - 00394808 _____ () C:\Program Files (x86)\Avira\AntiVir Desktop\sqlite3.dll
2013-12-20 09:28 - 2013-12-20 09:28 - 03559024 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll

==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DpHost => ""="Service"

==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (01/11/2014 06:31:44 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1051, Zeitstempel: 0x4bc8375e
Name des fehlerhaften Moduls: atiadlxx.dll, Version: 6.14.10.1054, Zeitstempel: 0x4bc829d9
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000000000001e858
ID des fehlerhaften Prozesses: 0x464
Startzeit der fehlerhaften Anwendung: 0xatieclxx.exe0
Pfad der fehlerhaften Anwendung: atieclxx.exe1
Pfad des fehlerhaften Moduls: atieclxx.exe2
Berichtskennung: atieclxx.exe3

Error: (01/06/2014 03:36:56 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: wscript.exe, Version: 5.8.7601.18283, Zeitstempel: 0x5258a6e6
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000000000000000
ID des fehlerhaften Prozesses: 0x844
Startzeit der fehlerhaften Anwendung: 0xwscript.exe0
Pfad der fehlerhaften Anwendung: wscript.exe1
Pfad des fehlerhaften Moduls: wscript.exe2
Berichtskennung: wscript.exe3

Error: (01/02/2014 02:59:24 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1051, Zeitstempel: 0x4bc8375e
Name des fehlerhaften Moduls: atiadlxx.dll, Version: 6.14.10.1054, Zeitstempel: 0x4bc829d9
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000000000001e858
ID des fehlerhaften Prozesses: 0x474
Startzeit der fehlerhaften Anwendung: 0xatieclxx.exe0
Pfad der fehlerhaften Anwendung: atieclxx.exe1
Pfad des fehlerhaften Moduls: atieclxx.exe2
Berichtskennung: atieclxx.exe3

Error: (01/01/2014 08:42:34 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: firefox.exe, Version: 26.0.0.5087, Zeitstempel: 0x52a0d273
Name des fehlerhaften Moduls: xul.dll, Version: 26.0.0.5087, Zeitstempel: 0x52a0d20a
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0014e1a8
ID des fehlerhaften Prozesses: 0x125c
Startzeit der fehlerhaften Anwendung: 0xfirefox.exe0
Pfad der fehlerhaften Anwendung: firefox.exe1
Pfad des fehlerhaften Moduls: firefox.exe2
Berichtskennung: firefox.exe3

Error: (12/28/2013 06:54:25 PM) (Source: Application Hang) (User: )
Description: Programm League of Legends.exe, Version 3.15.0.260 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 48c

Startzeit: 01cf03f59f231668

Endzeit: 22

Anwendungspfad: C:\Riot Games\League of Legends\RADS\solutions\lol_game_client_sln\releases\0.0.1.4\deploy\League of Legends.exe

Berichts-ID:

Error: (12/28/2013 04:51:01 PM) (Source: Application Hang) (User: )
Description: Programm League of Legends.exe, Version 3.15.0.260 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: c68

Startzeit: 01cf03e23b5378e8

Endzeit: 52

Anwendungspfad: C:\Riot Games\League of Legends\RADS\solutions\lol_game_client_sln\releases\0.0.1.4\deploy\League of Legends.exe

Berichts-ID:

Error: (12/19/2013 04:05:01 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1051, Zeitstempel: 0x4bc8375e
Name des fehlerhaften Moduls: atiadlxx.dll, Version: 6.14.10.1054, Zeitstempel: 0x4bc829d9
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000000000001e858
ID des fehlerhaften Prozesses: 0x47c
Startzeit der fehlerhaften Anwendung: 0xatieclxx.exe0
Pfad der fehlerhaften Anwendung: atieclxx.exe1
Pfad des fehlerhaften Moduls: atieclxx.exe2
Berichtskennung: atieclxx.exe3

Error: (12/17/2013 04:35:08 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1051, Zeitstempel: 0x4bc8375e
Name des fehlerhaften Moduls: atiadlxx.dll, Version: 6.14.10.1054, Zeitstempel: 0x4bc829d9
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000000000001e858
ID des fehlerhaften Prozesses: 0x4e8
Startzeit der fehlerhaften Anwendung: 0xatieclxx.exe0
Pfad der fehlerhaften Anwendung: atieclxx.exe1
Pfad des fehlerhaften Moduls: atieclxx.exe2
Berichtskennung: atieclxx.exe3

Error: (12/14/2013 06:02:37 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: Explorer.EXE, Version: 6.1.7601.17567, Zeitstempel: 0x4d672ee4
Name des fehlerhaften Moduls: WINHTTP.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7ca23
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000000000001376
ID des fehlerhaften Prozesses: 0x3dc
Startzeit der fehlerhaften Anwendung: 0xExplorer.EXE0
Pfad der fehlerhaften Anwendung: Explorer.EXE1
Pfad des fehlerhaften Moduls: Explorer.EXE2
Berichtskennung: Explorer.EXE3

Error: (12/10/2013 06:25:57 PM) (Source: BugSplat) (User: )
Description: Pando_WinPando-1


System errors:
=============
Error: (01/12/2014 06:23:42 PM) (Source: DCOM) (User: )
Description: {F9717507-6651-4EDB-BFF7-AE615179BCCF}

Error: (01/08/2014 07:40:12 PM) (Source: DCOM) (User: )
Description: 1053WSearch{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}

Error: (01/08/2014 07:40:12 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows Search" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%1053

Error: (01/08/2014 07:40:11 PM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Windows Search erreicht.

Error: (01/02/2014 08:48:47 PM) (Source: DCOM) (User: )
Description: {51FA2736-5DEE-11D4-98E8-006008BF430C}

Error: (12/22/2013 03:56:45 AM) (Source: Ntfs) (User: )
Description: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie auf dem Volume "\Device\HarddiskVolumeShadowCopy1" den Befehl "chkdsk" aus.

Error: (12/22/2013 03:56:30 AM) (Source: Microsoft-Windows-Kernel-General) (User: NT-AUTORITÄT)
Description: 0x8000002a171\??\Volume{57cdfbeb-4fa8-11e3-ae65-806e6f6e6963}\System Volume Information\SPP\SppCbsHiveStore\{cd42efe1-f6f1-427c-b004-033192c625a4}{E62E45A1-2531-4BD3-8377-2C8552505203}

Error: (12/22/2013 03:56:12 AM) (Source: Ntfs) (User: )
Description: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie auf dem Volume "\Device\HarddiskVolumeShadowCopy1" den Befehl "chkdsk" aus.

Error: (12/22/2013 03:56:09 AM) (Source: Ntfs) (User: )
Description: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie auf dem Volume "\Device\HarddiskVolumeShadowCopy1" den Befehl "chkdsk" aus.

Error: (12/22/2013 03:56:09 AM) (Source: Ntfs) (User: )
Description: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie auf dem Volume "\Device\HarddiskVolumeShadowCopy1" den Befehl "chkdsk" aus.


Microsoft Office Sessions:
=========================
Error: (01/11/2014 06:31:44 PM) (Source: Application Error)(User: )
Description: atieclxx.exe6.14.11.10514bc8375eatiadlxx.dll6.14.10.10544bc829d9c0000005000000000001e85846401cf0eca97aea03cC:\Windows\system32\atieclxx.exeC:\Windows\system32\atiadlxx.dll3d291f57-7ae6-11e3-9e1a-70f39568b236

Error: (01/06/2014 03:36:56 PM) (Source: Application Error)(User: )
Description: wscript.exe5.8.7601.182835258a6e6unknown0.0.0.000000000c0000005000000000000000084401cf0aeca1acc5b3C:\Windows\System32\wscript.exeunknownfdc7b9b2-76df-11e3-a0d7-70f39568b236

Error: (01/02/2014 02:59:24 PM) (Source: Application Error)(User: )
Description: atieclxx.exe6.14.11.10514bc8375eatiadlxx.dll6.14.10.10544bc829d9c0000005000000000001e85847401cf0798f1200358C:\Windows\system32\atieclxx.exeC:\Windows\system32\atiadlxx.dll15e3750d-73b6-11e3-8f96-70f39568b236

Error: (01/01/2014 08:42:34 PM) (Source: Application Error)(User: )
Description: firefox.exe26.0.0.508752a0d273xul.dll26.0.0.508752a0d20ac00000050014e1a8125c01cf0729027498dbC:\Program Files (x86)\Mozilla Firefox\firefox.exeC:\Program Files (x86)\Mozilla Firefox\xul.dlldc0f2191-731c-11e3-aee9-70f39568b236

Error: (12/28/2013 06:54:25 PM) (Source: Application Hang)(User: )
Description: League of Legends.exe3.15.0.26048c01cf03f59f23166822C:\Riot Games\League of Legends\RADS\solutions\lol_game_client_sln\releases\0.0.1.4\deploy\League of Legends.exe

Error: (12/28/2013 04:51:01 PM) (Source: Application Hang)(User: )
Description: League of Legends.exe3.15.0.260c6801cf03e23b5378e852C:\Riot Games\League of Legends\RADS\solutions\lol_game_client_sln\releases\0.0.1.4\deploy\League of Legends.exe

Error: (12/19/2013 04:05:01 PM) (Source: Application Error)(User: )
Description: atieclxx.exe6.14.11.10514bc8375eatiadlxx.dll6.14.10.10544bc829d9c0000005000000000001e85847c01cefcb6b98aed75C:\Windows\system32\atieclxx.exeC:\Windows\system32\atiadlxx.dllee40a65e-68be-11e3-acf9-70f39568b236

Error: (12/17/2013 04:35:08 PM) (Source: Application Error)(User: )
Description: atieclxx.exe6.14.11.10514bc8375eatiadlxx.dll6.14.10.10544bc829d9c0000005000000000001e8584e801cefb078141f0d2C:\Windows\system32\atieclxx.exeC:\Windows\system32\atiadlxx.dllce5bf17e-6730-11e3-8796-70f39568b236

Error: (12/14/2013 06:02:37 PM) (Source: Application Error)(User: )
Description: Explorer.EXE6.1.7601.175674d672ee4WINHTTP.dll6.1.7601.175144ce7ca23c000000500000000000013763dc01cef8e3c2eeff2bC:\Windows\Explorer.EXEC:\Windows\system32\WINHTTP.dll88527144-64e1-11e3-95f2-70f39568b236

Error: (12/10/2013 06:25:57 PM) (Source: BugSplat)(User: )
Description: Pando_WinPando-1


CodeIntegrity Errors:
===================================
  Date: 2013-11-20 12:27:42.563
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-11-20 12:27:42.492
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-11-20 12:27:42.073
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-11-20 12:27:42.001
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-11-20 12:21:42.715
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-11-20 12:21:42.689
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-11-20 12:21:42.177
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-11-20 12:21:42.149
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-11-20 12:21:32.081
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-11-20 12:21:32.054
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.


==================== Memory info =========================== 

Percentage of memory in use: 39%
Total physical RAM: 3834.9 MB
Available physical RAM: 2324.37 MB
Total Pagefile: 7667.98 MB
Available Pagefile: 5719.4 MB
Total Virtual: 8192 MB
Available Virtual: 8191.81 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:465.66 GB) (Free:343.75 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: FF65E8E8)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=466 GB) - (Type=07 NTFS)

==================== End Of Log ============================

Defogger:

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:32 on 14/01/2014 (Michi)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Und nun die Logs von meinen eigenen Versuchen.

Mbam:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.12.29.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Michi :: MICHI-PC [Administrator]

31.12.2013 22:35:40
mbam-log-2013-12-31 (22-35-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 208087
Laufzeit: 6 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\Michi\AppData\Roaming\MsnMessenger.exe (Trojan.MSIL) -> 1444 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|367d8aa305eb8e84cad21c38ee58cc14 (Trojan.MSIL) -> Daten: "C:\Users\Michi\AppData\Roaming\MsnMessenger.exe" .. -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Michi\AppData\Roaming\MsnMessenger.exe (Trojan.MSIL) -> Löschen bei Neustart.
C:\Users\Michi\AppData\Roaming\Avira\FlashGot.exe (Trojan.MSIL) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Avira:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 11. Januar 2014  13:45


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MICHI-PC

Versionsinformationen:
BUILD.DAT      : 14.0.2.286     55547 Bytes  09.12.2013 11:37:00
AVSCAN.EXE     : 14.0.2.254   1032760 Bytes  17.12.2013 15:35:36
AVSCANRC.DLL   : 14.0.2.180     62008 Bytes  17.12.2013 15:35:36
LUKE.DLL       : 14.0.2.234     65592 Bytes  17.12.2013 15:35:54
AVSCPLR.DLL    : 14.0.2.254    124472 Bytes  17.12.2013 15:35:36
AVREG.DLL      : 14.0.2.212    250424 Bytes  17.12.2013 15:35:34
avlode.dll     : 14.0.2.254    540216 Bytes  17.12.2013 15:35:34
avlode.rdf     : 13.0.1.62      56973 Bytes  09.12.2013 17:06:52
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 18:25:41
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 18:25:41
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 18:25:41
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 18:25:41
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 18:25:41
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 18:25:41
VBASE006.VDF   : 7.11.103.230  2293248 Bytes  24.09.2013 18:25:41
VBASE007.VDF   : 7.11.116.38  5485568 Bytes  28.11.2013 18:21:54
VBASE008.VDF   : 7.11.120.140  1154560 Bytes  19.12.2013 18:41:13
VBASE009.VDF   : 7.11.120.141     2048 Bytes  19.12.2013 18:41:13
VBASE010.VDF   : 7.11.120.142     2048 Bytes  19.12.2013 18:41:13
VBASE011.VDF   : 7.11.120.143     2048 Bytes  19.12.2013 18:41:13
VBASE012.VDF   : 7.11.120.144     2048 Bytes  19.12.2013 18:41:14
VBASE013.VDF   : 7.11.120.145     2048 Bytes  19.12.2013 18:41:14
VBASE014.VDF   : 7.11.121.19   126976 Bytes  21.12.2013 15:56:43
VBASE015.VDF   : 7.11.121.147   122880 Bytes  24.12.2013 18:36:24
VBASE016.VDF   : 7.11.121.233   115712 Bytes  25.12.2013 18:36:24
VBASE017.VDF   : 7.11.122.57   325120 Bytes  27.12.2013 11:34:31
VBASE018.VDF   : 7.11.122.123   199680 Bytes  28.12.2013 14:10:51
VBASE019.VDF   : 7.11.122.219   368640 Bytes  01.01.2014 19:37:21
VBASE020.VDF   : 7.11.123.39   182272 Bytes  03.01.2014 14:17:30
VBASE021.VDF   : 7.11.123.141   124416 Bytes  05.01.2014 16:56:27
VBASE022.VDF   : 7.11.124.11   172032 Bytes  08.01.2014 17:18:57
VBASE023.VDF   : 7.11.124.79   144896 Bytes  09.01.2014 14:42:49
VBASE024.VDF   : 7.11.124.80     2048 Bytes  09.01.2014 14:42:49
VBASE025.VDF   : 7.11.124.81     2048 Bytes  09.01.2014 14:42:50
VBASE026.VDF   : 7.11.124.82     2048 Bytes  09.01.2014 14:42:53
VBASE027.VDF   : 7.11.124.83     2048 Bytes  09.01.2014 14:42:53
VBASE028.VDF   : 7.11.124.84     2048 Bytes  09.01.2014 14:42:53
VBASE029.VDF   : 7.11.124.85     2048 Bytes  09.01.2014 14:42:53
VBASE030.VDF   : 7.11.124.86     2048 Bytes  09.01.2014 14:42:53
VBASE031.VDF   : 7.11.124.170   219648 Bytes  11.01.2014 08:07:02
Engineversion  : 8.2.12.168
AEVDF.DLL      : 8.1.3.4       102774 Bytes  31.10.2013 18:25:18
AESCRIPT.DLL   : 8.1.4.178     520574 Bytes  09.01.2014 14:42:57
AESCN.DLL      : 8.1.10.6      131447 Bytes  11.12.2013 16:28:34
AESBX.DLL      : 8.2.16.26    1245560 Bytes  31.10.2013 18:25:18
AERDL.DLL      : 8.2.0.138     704888 Bytes  02.12.2013 18:00:16
AEPACK.DLL     : 8.3.3.8       762232 Bytes  19.12.2013 18:41:20
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes  31.10.2013 18:25:18
AEHEUR.DLL     : 8.1.4.858    6439290 Bytes  09.01.2014 14:42:57
AEHELP.DLL     : 8.1.27.10     266618 Bytes  22.11.2013 12:42:32
AEGEN.DLL      : 8.1.7.20      446839 Bytes  17.11.2013 17:18:51
AEEXP.DLL      : 8.4.1.164     409976 Bytes  09.01.2014 14:42:57
AEEMU.DLL      : 8.1.3.2       393587 Bytes  31.10.2013 18:25:18
AECORE.DLL     : 8.1.33.0      225657 Bytes  11.12.2013 16:28:34
AEBB.DLL       : 8.1.1.4        53619 Bytes  31.10.2013 18:25:18
AVWINLL.DLL    : 14.0.2.180     23608 Bytes  17.12.2013 15:35:30
AVPREF.DLL     : 14.0.2.180     48696 Bytes  17.12.2013 15:35:34
AVREP.DLL      : 14.0.2.180    175672 Bytes  17.12.2013 15:35:35
AVARKT.DLL     : 14.0.2.254    256056 Bytes  17.12.2013 15:35:31
AVEVTLOG.DLL   : 14.0.2.180    165944 Bytes  17.12.2013 15:35:32
SQLITE3.DLL    : 3.7.0.1       394808 Bytes  31.10.2013 18:25:40
AVSMTP.DLL     : 14.0.2.180     60472 Bytes  17.12.2013 15:35:38
NETNT.DLL      : 14.0.2.180     13368 Bytes  17.12.2013 15:35:54
RCIMAGE.DLL    : 14.0.2.180   4786744 Bytes  17.12.2013 15:35:30
RCTEXT.DLL     : 14.0.2.270     73272 Bytes  17.12.2013 15:35:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_52d13c53\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: Reparieren
Sekundäre Aktion......................: Quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig

Beginn des Suchlaufs: Samstag, 11. Januar 2014  13:45

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV64.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vcsFPService.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'DpHostW.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AESTSr64.exe' - '8' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'DPAgent.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '189' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray64.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscript.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'DPAgent.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebg7.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '178' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtStackServer.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Michi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IG52FE41\Book[1].pdf'
C:\Users\Michi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IG52FE41\Book[1].pdf
  [FUND]      Ist das Trojanische Pferd TR/Kryptik.667648.52
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5af0ad9f.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe'
C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe
  [FUND]      Ist das Trojanische Pferd TR/Kryptik.667648.52
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '42158235.qua' verschoben!


Ende des Suchlaufs: Samstag, 11. Januar 2014  13:45
Benötigte Zeit: 00:16 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    914 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    912 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise

Und nochmal Avira:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 13. Januar 2014  19:48


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MICHI-PC

Versionsinformationen:
BUILD.DAT      : 14.0.2.286     55547 Bytes  09.12.2013 11:37:00
AVSCAN.EXE     : 14.0.2.254   1032760 Bytes  17.12.2013 15:35:36
AVSCANRC.DLL   : 14.0.2.180     62008 Bytes  17.12.2013 15:35:36
LUKE.DLL       : 14.0.2.234     65592 Bytes  17.12.2013 15:35:54
AVSCPLR.DLL    : 14.0.2.254    124472 Bytes  17.12.2013 15:35:36
AVREG.DLL      : 14.0.2.212    250424 Bytes  17.12.2013 15:35:34
avlode.dll     : 14.0.2.254    540216 Bytes  17.12.2013 15:35:34
avlode.rdf     : 13.0.1.62      56973 Bytes  09.12.2013 17:06:52
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 18:25:41
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 18:25:41
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 18:25:41
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 18:25:41
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 18:25:41
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 18:25:41
VBASE006.VDF   : 7.11.103.230  2293248 Bytes  24.09.2013 18:25:41
VBASE007.VDF   : 7.11.116.38  5485568 Bytes  28.11.2013 18:21:54
VBASE008.VDF   : 7.11.120.140  1154560 Bytes  19.12.2013 18:41:13
VBASE009.VDF   : 7.11.120.141     2048 Bytes  19.12.2013 18:41:13
VBASE010.VDF   : 7.11.120.142     2048 Bytes  19.12.2013 18:41:13
VBASE011.VDF   : 7.11.120.143     2048 Bytes  19.12.2013 18:41:13
VBASE012.VDF   : 7.11.120.144     2048 Bytes  19.12.2013 18:41:14
VBASE013.VDF   : 7.11.120.145     2048 Bytes  19.12.2013 18:41:14
VBASE014.VDF   : 7.11.121.19   126976 Bytes  21.12.2013 15:56:43
VBASE015.VDF   : 7.11.121.147   122880 Bytes  24.12.2013 18:36:24
VBASE016.VDF   : 7.11.121.233   115712 Bytes  25.12.2013 18:36:24
VBASE017.VDF   : 7.11.122.57   325120 Bytes  27.12.2013 11:34:31
VBASE018.VDF   : 7.11.122.123   199680 Bytes  28.12.2013 14:10:51
VBASE019.VDF   : 7.11.122.219   368640 Bytes  01.01.2014 19:37:21
VBASE020.VDF   : 7.11.123.39   182272 Bytes  03.01.2014 14:17:30
VBASE021.VDF   : 7.11.123.141   124416 Bytes  05.01.2014 16:56:27
VBASE022.VDF   : 7.11.124.11   172032 Bytes  08.01.2014 17:18:57
VBASE023.VDF   : 7.11.124.79   144896 Bytes  09.01.2014 14:42:49
VBASE024.VDF   : 7.11.124.177   178176 Bytes  11.01.2014 14:07:02
VBASE025.VDF   : 7.11.124.178     2048 Bytes  11.01.2014 14:07:02
VBASE026.VDF   : 7.11.124.179     2048 Bytes  11.01.2014 14:07:02
VBASE027.VDF   : 7.11.124.180     2048 Bytes  11.01.2014 14:07:02
VBASE028.VDF   : 7.11.124.181     2048 Bytes  11.01.2014 14:07:02
VBASE029.VDF   : 7.11.124.182     2048 Bytes  11.01.2014 14:07:02
VBASE030.VDF   : 7.11.124.183     2048 Bytes  11.01.2014 14:07:02
VBASE031.VDF   : 7.11.124.244   202240 Bytes  13.01.2014 11:18:46
Engineversion  : 8.2.12.168
AEVDF.DLL      : 8.1.3.4       102774 Bytes  31.10.2013 18:25:18
AESCRIPT.DLL   : 8.1.4.178     520574 Bytes  09.01.2014 14:42:57
AESCN.DLL      : 8.1.10.6      131447 Bytes  11.12.2013 16:28:34
AESBX.DLL      : 8.2.16.26    1245560 Bytes  31.10.2013 18:25:18
AERDL.DLL      : 8.2.0.138     704888 Bytes  02.12.2013 18:00:16
AEPACK.DLL     : 8.3.3.8       762232 Bytes  19.12.2013 18:41:20
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes  31.10.2013 18:25:18
AEHEUR.DLL     : 8.1.4.858    6439290 Bytes  09.01.2014 14:42:57
AEHELP.DLL     : 8.1.27.10     266618 Bytes  22.11.2013 12:42:32
AEGEN.DLL      : 8.1.7.20      446839 Bytes  17.11.2013 17:18:51
AEEXP.DLL      : 8.4.1.164     409976 Bytes  09.01.2014 14:42:57
AEEMU.DLL      : 8.1.3.2       393587 Bytes  31.10.2013 18:25:18
AECORE.DLL     : 8.1.33.0      225657 Bytes  11.12.2013 16:28:34
AEBB.DLL       : 8.1.1.4        53619 Bytes  31.10.2013 18:25:18
AVWINLL.DLL    : 14.0.2.180     23608 Bytes  17.12.2013 15:35:30
AVPREF.DLL     : 14.0.2.180     48696 Bytes  17.12.2013 15:35:34
AVREP.DLL      : 14.0.2.180    175672 Bytes  17.12.2013 15:35:35
AVARKT.DLL     : 14.0.2.254    256056 Bytes  17.12.2013 15:35:31
AVEVTLOG.DLL   : 14.0.2.180    165944 Bytes  17.12.2013 15:35:32
SQLITE3.DLL    : 3.7.0.1       394808 Bytes  31.10.2013 18:25:40
AVSMTP.DLL     : 14.0.2.180     60472 Bytes  17.12.2013 15:35:38
NETNT.DLL      : 14.0.2.180     13368 Bytes  17.12.2013 15:35:54
RCIMAGE.DLL    : 14.0.2.180   4786744 Bytes  17.12.2013 15:35:30
RCTEXT.DLL     : 14.0.2.270     73272 Bytes  17.12.2013 15:35:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_52d433c4\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: Reparieren
Sekundäre Aktion......................: Quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig

Beginn des Suchlaufs: Montag, 13. Januar 2014  19:48

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV64.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'vcsFPService.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'DpHostW.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AESTSr64.exe' - '8' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'DPAgent.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '185' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray64.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscript.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '175' Modul(e) wurden durchsucht
Durchsuche Prozess 'DPAgent.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerMsj.exe' - '77' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe>
  [FUND]      Ist das Trojanische Pferd TR/Kryptik.667648.52
  [HINWEIS]   Prozess 'FlashPlayerMsj.exe' wurde beendet
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d2d9963.qua' verschoben!
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebg7.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtStackServer.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'rads_user_kernel.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'LoLLauncher.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'LolClient.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'League of Legends.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'updrgui.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe'
Der zu durchsuchende Pfad C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.


Ende des Suchlaufs: Montag, 13. Januar 2014  19:51
Benötigte Zeit: 02:56 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   4632 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   4631 Dateien ohne Befall
     33 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise

schrauber · 14.01.2014, 14:26

hi,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Asgar92 · 14.01.2014, 15:20

Danke für die schnelle Antwort.

Hier die Datei.
Leider war sie zu groß für die Code-Tags, daher als Anhang.

schrauber · 15.01.2014, 09:40

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Asgar92 · 15.01.2014, 14:40

Hier die Logs:

Mbam:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.15.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Michi :: MICHI-PC [Administrator]

15.01.2014 14:11:47
mbam-log-2014-01-15 (14-11-47).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 208239
Laufzeit: 6 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ADWcleaner:

Code:

ATTFilter

# AdwCleaner v3.017 - Bericht erstellt am 15/01/2014 um 14:21:07
# Aktualisiert 12/01/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : Michi - MICHI-PC
# Gestartet von : C:\Users\Michi\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Program Files (x86)\Softonic
Ordner Gelöscht : C:\Users\Michi\AppData\Local\Google\Chrome\User Data\Default\Extensions\elchiiiejkobdbblfejjkbphbddgmljf

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\elchiiiejkobdbblfejjkbphbddgmljf
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\escort.escortIEPane
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SoftonicApp.appCore
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SoftonicApp.appCore.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\srv.SoftonicSrvc
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\srv.SoftonicSrvc.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\smartbar_rasapi32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\smartbar_rasmancs
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{7ABBFE1C-E485-44AA-8F36-353751B4124D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B15F118E-AF21-45E8-A809-29FDD7362565}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{44B50C01-4993-48E2-ADEE-D812BAE2E9A2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{5018CFD2-804D-4C99-9F81-25EAEA2769DE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A3E2F089-DDBB-4CBF-B06C-5D44DA316ED3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A5679AB0-C59E-49E7-83C4-5289F844A6E0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CA0167C2-6295-41B8-9BDA-704B2F5E4CD9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E87806B5-E908-45FD-AF5E-957D83E58E68}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{087CDC12-0A11-4D1D-8DCF-44185D7C3496}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{088BF3A9-6AE8-47B9-A3FB-26262F236C79}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2AC7B9EB-3881-4EB9-8DEE-0A731A309FDE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{349C0469-ACDD-49DF-9B3E-0D82E7C7DC4D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{41226591-6F7A-4082-B63A-67FE4A0CF7A6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{55D69CD1-6715-4C40-BF05-9519AC4DC6E6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66C8FD57-54C4-4D4F-BC95-DCCC763B410A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{717BAE33-7061-4279-8AE5-6C13BC8AF3F9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{84F06F7A-F811-48D7-8B34-3F4145183D8F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{88F6D55F-AA3F-4003-BE69-4AC1998D6492}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8DBCDED5-08AD-41A2-9BBC-235D84F4FE06}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A0F66203-1A86-4812-9603-A57E09A4D7A3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BC39D1B3-4471-41C1-AACA-E097FAF4B7AA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DEB85542-1311-4EC6-8A32-5372EB27FC94}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11D9E165-B8C1-4734-A56C-BC4FCACA966B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{B15F118E-AF21-45E8-A809-29FDD7362565}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E87806B5-E908-45FD-AF5E-957D83E58E68}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9CF034EA-7B46-48D3-8895-8A14B32AE445}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{5018CFD2-804D-4C99-9F81-25EAEA2769DE}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{087CDC12-0A11-4D1D-8DCF-44185D7C3496}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{088BF3A9-6AE8-47B9-A3FB-26262F236C79}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{2AC7B9EB-3881-4EB9-8DEE-0A731A309FDE}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{349C0469-ACDD-49DF-9B3E-0D82E7C7DC4D}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{41226591-6F7A-4082-B63A-67FE4A0CF7A6}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{55D69CD1-6715-4C40-BF05-9519AC4DC6E6}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{66C8FD57-54C4-4D4F-BC95-DCCC763B410A}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{717BAE33-7061-4279-8AE5-6C13BC8AF3F9}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{84F06F7A-F811-48D7-8B34-3F4145183D8F}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{88F6D55F-AA3F-4003-BE69-4AC1998D6492}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{8DBCDED5-08AD-41A2-9BBC-235D84F4FE06}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{A0F66203-1A86-4812-9603-A57E09A4D7A3}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{BC39D1B3-4471-41C1-AACA-E097FAF4B7AA}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{DEB85542-1311-4EC6-8A32-5372EB27FC94}
Wert Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Show-Password
Schlüssel Gelöscht : HKLM\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Softonic

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.16428

Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [Default]
Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [Default]

-\\ Mozilla Firefox v26.0 (de)

[ Datei : C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\prefs.js ]

Zeile gelöscht : user_pref("browser.search.selectedEngine", "Web Search");
Zeile gelöscht : user_pref("extensions.Softonic.admin", false);
Zeile gelöscht : user_pref("extensions.Softonic.aflt", "OC");
Zeile gelöscht : user_pref("extensions.Softonic.appId", "{7ABBFE1C-E485-44AA-8F36-353751B4124D}");
Zeile gelöscht : user_pref("extensions.Softonic.autoRvrt", "false");
Zeile gelöscht : user_pref("extensions.Softonic.dfltLng", "de");
Zeile gelöscht : user_pref("extensions.Softonic.dfltSrch", true);
Zeile gelöscht : user_pref("extensions.Softonic.dnsErr", true);
Zeile gelöscht : user_pref("extensions.Softonic.excTlbr", false);
Zeile gelöscht : user_pref("extensions.Softonic.ffxUnstlRst", false);
Zeile gelöscht : user_pref("extensions.Softonic.hmpg", true);
Zeile gelöscht : user_pref("extensions.Softonic.hmpgUrl", "hxxp://search.softonic.com/MOY00621/tb_v1?SearchSource=13&cc=&mi=727e844200000000000070f3953b2d1f");
Zeile gelöscht : user_pref("extensions.Softonic.id", "727e844200000000000070f3953b2d1f");
Zeile gelöscht : user_pref("extensions.Softonic.instlDay", "16026");
Zeile gelöscht : user_pref("extensions.Softonic.instlRef", "MOY00621");
Zeile gelöscht : user_pref("extensions.Softonic.newTab", true);
Zeile gelöscht : user_pref("extensions.Softonic.newTabUrl", "hxxp://search.softonic.com/MOY00621/tb_v1/?SearchSource=15&cc=&mi=727e844200000000000070f3953b2d1f");
Zeile gelöscht : user_pref("extensions.Softonic.prdct", "Softonic");
Zeile gelöscht : user_pref("extensions.Softonic.prtnrId", "softonic");
Zeile gelöscht : user_pref("extensions.Softonic.rvrt", "false");
Zeile gelöscht : user_pref("extensions.Softonic.smplGrp", "none");
Zeile gelöscht : user_pref("extensions.Softonic.srchPrvdr", "Search the web (Softonic)");
Zeile gelöscht : user_pref("extensions.Softonic.tlbrId", "opencandy2013");
Zeile gelöscht : user_pref("extensions.Softonic.tlbrSrchUrl", "hxxp://search.softonic.com/MOY00621/tb_v1?SearchSource=1&cc=&mi=727e844200000000000070f3953b2d1f&q=");
Zeile gelöscht : user_pref("extensions.Softonic.vrsn", "1.8.21.14");
Zeile gelöscht : user_pref("extensions.Softonic.vrsnTs", "1.8.21.1419:28:38");
Zeile gelöscht : user_pref("extensions.Softonic.vrsni", "1.8.21.14");
Zeile gelöscht : user_pref("keyword.URL", "hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&fr=linkury-tb&installDate={installDate}&type=hp1000&[...]

*************************

AdwCleaner[R0].txt - [10780 octets] - [15/01/2014 14:19:31]
AdwCleaner[S0].txt - [10059 octets] - [15/01/2014 14:21:07]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [10120 octets] ##########

JRT:

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.0 (01.07.2014:1)
OS: Windows 7 Home Premium x64
Ran by Michi on 15.01.2014 at 14:25:29,77
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\caphyon
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\Softonic_chr_1_RASAPI32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\Softonic_chr_1_RASMANCS
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\Softonic_chr_1_RASAPI32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\Softonic_chr_1_RASMANCS



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\Windows\syswow64\ai_recyclebin"



~~~ FireFox

Emptied folder: C:\Users\Michi\AppData\Roaming\mozilla\firefox\profiles\05tgzta3.default\minidumps [48 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 15.01.2014 at 14:32:46,96
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Und das frische FRST-Log:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-01-2014 01
Ran by Michi (administrator) on MICHI-PC on 15-01-2014 14:52:50
Running from C:\Users\Michi\Downloads
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 11
Boot Mode: Normal

The only official download link for FRST:
Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ 
Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ 
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(AMD) C:\Windows\System32\atiesrxx.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Hewlett-Packard Company) C:\Windows\System32\hpservice.exe
(Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe
(Microsoft Corporation) C:\Windows\System32\wlanext.exe
(DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe
(Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe
(Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated)
HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.)
HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation)
HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs"
HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] ()
Lsa: [Notification Packages] DPPassFilter scecli
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default
FF Homepage: https://www.facebook.com/
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll ()
FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll ()
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10]
FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17]
FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\
FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ []

Chrome: 
=======
Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-15 14:52 - 2014-01-15 14:52 - 00009169 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-15 14:51 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion
2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT
2014-01-15 14:19 - 2014-01-15 14:21 - 00000000 ____D C:\AdwCleaner
2014-01-15 14:14 - 2014-01-15 14:14 - 01037068 _____ (Thisisu) C:\Users\Michi\Desktop\JRT.exe
2014-01-15 14:09 - 2014-01-15 14:09 - 01236282 _____ C:\Users\Michi\Desktop\adwcleaner.exe
2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt
2014-01-14 15:28 - 2013-12-25 23:09 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs
2014-01-14 15:27 - 2014-01-14 15:27 - 00000552 _____ C:\Windows\PFRO.log
2014-01-14 15:17 - 2014-01-14 15:17 - 01110476 _____ C:\Users\Michi\Downloads\7z920.exe
2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip
2014-01-14 14:46 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2014-01-14 14:46 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2014-01-14 14:46 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2014-01-14 14:45 - 2014-01-14 15:13 - 00000000 ____D C:\Qoobox
2014-01-14 14:45 - 2014-01-14 15:09 - 00000000 ____D C:\Windows\erdnt
2014-01-14 14:42 - 2014-01-14 14:42 - 05166068 ____R (Swearware) C:\Users\Michi\Desktop\ComboFix.exe
2014-01-14 13:32 - 2014-01-15 14:51 - 00000000 ____D C:\FRST
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:31 - 2014-01-15 14:51 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-14 13:31 - 2014-01-14 13:31 - 00050477 _____ C:\Users\Michi\Downloads\Defogger.exe
2014-01-14 13:30 - 2014-01-14 13:30 - 00377856 _____ C:\Users\Michi\Downloads\ddxmqvc9.exe
2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
2014-01-11 09:01 - 2014-01-15 14:22 - 00000784 _____ C:\Windows\setupact.log
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 14:58 - 2014-01-15 14:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Origin
2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url
2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll
2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll
2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-17 17:55 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys

==================== One Month Modified Files and Folders =======

2014-01-15 14:53 - 2014-01-15 14:52 - 00009169 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-15 14:52 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype
2014-01-15 14:51 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion
2014-01-15 14:51 - 2014-01-14 13:32 - 00000000 ____D C:\FRST
2014-01-15 14:51 - 2014-01-14 13:31 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-15 14:30 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-15 14:30 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-15 14:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT
2014-01-15 14:22 - 2014-01-11 09:01 - 00000784 _____ C:\Windows\setupact.log
2014-01-15 14:22 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-15 14:21 - 2014-01-15 14:19 - 00000000 ____D C:\AdwCleaner
2014-01-15 14:21 - 2013-11-17 17:57 - 01227215 _____ C:\Windows\WindowsUpdate.log
2014-01-15 14:18 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files
2014-01-15 14:18 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files
2014-01-15 14:14 - 2014-01-15 14:14 - 01037068 _____ (Thisisu) C:\Users\Michi\Desktop\JRT.exe
2014-01-15 14:09 - 2014-01-15 14:09 - 01236282 _____ C:\Users\Michi\Desktop\adwcleaner.exe
2014-01-15 13:47 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam
2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin
2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt
2014-01-14 15:27 - 2014-01-14 15:27 - 00000552 _____ C:\Windows\PFRO.log
2014-01-14 15:27 - 2013-11-17 18:37 - 00000000 ____D C:\Program Files\WinRAR
2014-01-14 15:17 - 2014-01-14 15:17 - 01110476 _____ C:\Users\Michi\Downloads\7z920.exe
2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip
2014-01-14 15:13 - 2014-01-14 14:45 - 00000000 ____D C:\Qoobox
2014-01-14 15:09 - 2014-01-14 14:45 - 00000000 ____D C:\Windows\erdnt
2014-01-14 14:59 - 2009-07-14 03:34 - 00000215 _____ C:\Windows\system.ini
2014-01-14 14:42 - 2014-01-14 14:42 - 05166068 ____R (Swearware) C:\Users\Michi\Desktop\ComboFix.exe
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi
2014-01-14 13:31 - 2014-01-14 13:31 - 00050477 _____ C:\Users\Michi\Downloads\Defogger.exe
2014-01-14 13:30 - 2014-01-14 13:30 - 00377856 _____ C:\Users\Michi\Downloads\ddxmqvc9.exe
2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF
2014-01-12 19:33 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat
2014-01-12 19:33 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat
2014-01-12 19:33 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI
2014-01-12 18:23 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3
2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia
2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe
2014-01-10 14:58 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe
2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin
2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-09 15:45 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc
2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3
2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-25 23:09 - 2014-01-14 15:28 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url
2013-12-20 22:05 - 2013-11-17 18:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-12-20 08:42 - 2013-11-17 18:26 - 00000000 ____D C:\Users\Michi\AppData\Local\Mozilla
2013-12-19 17:39 - 2013-11-17 19:03 - 00000000 ____D C:\Users\Michi\workspace
2013-12-19 14:11 - 2013-11-17 21:25 - 00000000 ____D C:\Users\Michi\Exes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-17 16:35 - 2013-11-17 18:14 - 00131576 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2013-12-17 16:35 - 2013-11-17 18:14 - 00108440 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2013-12-17 16:35 - 2013-11-17 18:14 - 00084720 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys

Some content of TEMP:
====================
C:\Users\Michi\AppData\Local\Temp\avgnt.exe
C:\Users\Michi\AppData\Local\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-31 19:57

==================== End Of Log ============================

--- --- ---

schrauber · 16.01.2014, 08:58

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme?

Asgar92 · 16.01.2014, 14:31

Hier einmal die frischen logs.

FRSt:

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-01-2014 01
Ran by Michi (administrator) on MICHI-PC on 16-01-2014 14:28:57
Running from C:\Users\Michi\Downloads
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 11
Boot Mode: Normal

The only official download link for FRST:
Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ 
Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ 
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(AMD) C:\Windows\System32\atiesrxx.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe
(Hewlett-Packard Company) C:\Windows\System32\hpservice.exe
(Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe
(Microsoft Corporation) C:\Windows\System32\wlanext.exe
(DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe
(Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe
(Apache Software Foundation) C:\Program Files (x86)\OpenOffice 4\program\swriter.exe
(Apache Software Foundation) C:\Program Files (x86)\OpenOffice 4\program\soffice.exe
(Apache Software Foundation) C:\Program Files (x86)\OpenOffice 4\program\soffice.bin
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated)
HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.)
HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation)
HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs"
HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] ()
Lsa: [Notification Packages] DPPassFilter scecli
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default
FF Homepage: https://www.facebook.com/
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll ()
FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll ()
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10]
FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17]
FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\
FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ []

Chrome: 
=======
Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-16 14:28 - 2014-01-16 14:28 - 00009501 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-16 14:28 - 2014-01-16 14:28 - 00000752 _____ C:\Users\Michi\Desktop\checkup.txt
2014-01-16 14:23 - 2014-01-16 14:23 - 00987410 _____ C:\Users\Michi\Desktop\SecurityCheck.exe
2014-01-15 18:40 - 2013-11-27 02:41 - 00343040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00325120 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00099840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00007808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys
2014-01-15 18:40 - 2013-11-26 12:40 - 00376768 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys
2014-01-15 18:40 - 2013-11-26 11:32 - 03156480 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2014-01-15 14:51 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion
2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT
2014-01-15 14:19 - 2014-01-15 14:21 - 00000000 ____D C:\AdwCleaner
2014-01-15 14:14 - 2014-01-15 14:14 - 01037068 _____ (Thisisu) C:\Users\Michi\Desktop\JRT.exe
2014-01-15 14:09 - 2014-01-15 14:09 - 01236282 _____ C:\Users\Michi\Desktop\adwcleaner.exe
2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt
2014-01-14 15:28 - 2013-12-25 23:09 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs
2014-01-14 15:27 - 2014-01-14 15:27 - 00000552 _____ C:\Windows\PFRO.log
2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip
2014-01-14 14:46 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2014-01-14 14:46 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2014-01-14 14:46 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2014-01-14 14:45 - 2014-01-14 15:13 - 00000000 ____D C:\Qoobox
2014-01-14 14:45 - 2014-01-14 15:09 - 00000000 ____D C:\Windows\erdnt
2014-01-14 14:42 - 2014-01-14 14:42 - 05166068 ____R (Swearware) C:\Users\Michi\Desktop\ComboFix.exe
2014-01-14 13:32 - 2014-01-15 14:51 - 00000000 ____D C:\FRST
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:31 - 2014-01-15 14:51 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
2014-01-11 09:01 - 2014-01-16 13:19 - 00000952 _____ C:\Windows\setupact.log
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 14:58 - 2014-01-16 14:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Origin
2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url
2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll
2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll
2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-17 17:55 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys

==================== One Month Modified Files and Folders =======

2014-01-16 14:29 - 2014-01-16 14:28 - 00009501 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-16 14:28 - 2014-01-16 14:28 - 00000752 _____ C:\Users\Michi\Desktop\checkup.txt
2014-01-16 14:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-16 14:24 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype
2014-01-16 14:23 - 2014-01-16 14:23 - 00987410 _____ C:\Users\Michi\Desktop\SecurityCheck.exe
2014-01-16 13:38 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat
2014-01-16 13:38 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat
2014-01-16 13:38 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI
2014-01-16 13:28 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-16 13:28 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-16 13:25 - 2013-11-17 17:57 - 01387655 _____ C:\Windows\WindowsUpdate.log
2014-01-16 13:19 - 2014-01-11 09:01 - 00000952 _____ C:\Windows\setupact.log
2014-01-16 13:19 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-16 13:19 - 2009-07-14 05:45 - 00294752 _____ C:\Windows\system32\FNTCACHE.DAT
2014-01-16 13:15 - 2013-12-01 17:53 - 00000000 ____D C:\Windows\system32\MRT
2014-01-16 13:13 - 2013-12-01 17:53 - 86054176 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2014-01-16 01:33 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files
2014-01-16 01:33 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files
2014-01-15 14:51 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion
2014-01-15 14:51 - 2014-01-14 13:32 - 00000000 ____D C:\FRST
2014-01-15 14:51 - 2014-01-14 13:31 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT
2014-01-15 14:21 - 2014-01-15 14:19 - 00000000 ____D C:\AdwCleaner
2014-01-15 14:14 - 2014-01-15 14:14 - 01037068 _____ (Thisisu) C:\Users\Michi\Desktop\JRT.exe
2014-01-15 14:09 - 2014-01-15 14:09 - 01236282 _____ C:\Users\Michi\Desktop\adwcleaner.exe
2014-01-15 13:47 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam
2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin
2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt
2014-01-14 15:27 - 2014-01-14 15:27 - 00000552 _____ C:\Windows\PFRO.log
2014-01-14 15:27 - 2013-11-17 18:37 - 00000000 ____D C:\Program Files\WinRAR
2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip
2014-01-14 15:13 - 2014-01-14 14:45 - 00000000 ____D C:\Qoobox
2014-01-14 15:13 - 2009-07-14 04:20 - 00000000 __RHD C:\Users\Default
2014-01-14 15:09 - 2014-01-14 14:45 - 00000000 ____D C:\Windows\erdnt
2014-01-14 14:59 - 2009-07-14 03:34 - 00000215 _____ C:\Windows\system.ini
2014-01-14 14:42 - 2014-01-14 14:42 - 05166068 ____R (Swearware) C:\Users\Michi\Desktop\ComboFix.exe
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi
2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF
2014-01-12 18:23 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3
2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia
2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe
2014-01-10 14:58 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe
2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin
2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-09 15:45 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc
2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3
2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-25 23:09 - 2014-01-14 15:28 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url
2013-12-20 22:05 - 2013-11-17 18:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-12-20 08:42 - 2013-11-17 18:26 - 00000000 ____D C:\Users\Michi\AppData\Local\Mozilla
2013-12-19 17:39 - 2013-11-17 19:03 - 00000000 ____D C:\Users\Michi\workspace
2013-12-19 14:11 - 2013-11-17 21:25 - 00000000 ____D C:\Users\Michi\Exes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-17 16:35 - 2013-11-17 18:14 - 00131576 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2013-12-17 16:35 - 2013-11-17 18:14 - 00108440 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2013-12-17 16:35 - 2013-11-17 18:14 - 00084720 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys

Some content of TEMP:
====================
C:\Users\Michi\AppData\Local\Temp\avgnt.exe
C:\Users\Michi\AppData\Local\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-31 19:57

==================== End Of Log ============================

--- --- ---

--- --- ---

ESET:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=39a3fd607a7de44f90f0a0fcb1d9acd8
# engine=16676
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-01-16 01:20:29
# local_time=2014-01-16 02:20:29 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 94 7434 6638111 434 0
# compatibility_mode=5893 16776573 100 94 181958 141508279 0 0
# scanned=58725
# found=6
# cleaned=0
# scan_time=2421
sh=2078520BDA3ABB355722FCB3C5526C0B139A479F ft=0 fh=0000000000000000 vn="VBS/TrojanDownloader.Small.NBK trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Michi\AppData\Roaming\Desktop.vbs.vir"
sh=64458E7A4DB4E767711BCB0E9D473E5A03ABBEAA ft=0 fh=0000000000000000 vn="VBS/Agent.NET worm" ac=I fn="C:\Qoobox\Quarantine\C\Users\Michi\AppData\Roaming\SysBackUp.vbs.vir"
sh=6634D1727B9892B4976CB06C0DDC1BE734258DA8 ft=1 fh=b212203f9bf78561 vn="a variant of MSIL/ChadowTek.C trojan" ac=I fn="C:\Users\Michi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1WNYI2NR\Book[1].pdf"
sh=2078520BDA3ABB355722FCB3C5526C0B139A479F ft=0 fh=0000000000000000 vn="VBS/TrojanDownloader.Small.NBK trojan" ac=I fn="C:\Users\Michi\AppData\Roaming\Desktop.vbs"
sh=2078520BDA3ABB355722FCB3C5526C0B139A479F ft=0 fh=0000000000000000 vn="VBS/TrojanDownloader.Small.NBK trojan" ac=I fn="C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs"
sh=64458E7A4DB4E767711BCB0E9D473E5A03ABBEAA ft=0 fh=0000000000000000 vn="VBS/Agent.NET worm" ac=I fn="C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs"

Und vom SecurityCheckup:

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.78  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Adobe Flash Player 11.9.900.170  
 Adobe Reader XI  
 Mozilla Firefox (26.0) 
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

Und Probleme habe ich auf dem Rechner an sich nicht mehr, nur die Datenträger funktionieren noch immer nicht. Nach wie vor der selbe Fehler, wie ich ihn im ersten Post beschrieben habe.

schrauber · 17.01.2014, 12:20

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

C:\Users\Michi\AppData\Roaming\Desktop.vbs
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs
HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs"
HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs ()

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Teste nochmal

Asgar92 · 17.01.2014, 15:31

So hab deine Anweisungen befolgt, die Wechseldatenträger machen aber immernoch Probleme und zusätzlich hat mein Avira auch noch mal rumgemeckert.

Erstmal die gefragte Log:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 17-01-2014
Ran by Michi at 2014-01-17 15:23:39 Run:1
Running from C:\Users\Michi\Downloads
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Users\Michi\AppData\Roaming\Desktop.vbs
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs
HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs"
HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs ()
         
*****************

C:\Users\Michi\AppData\Roaming\Desktop.vbs => Moved successfully.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs => Moved successfully.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs => Moved successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\SysBackUp => Value deleted successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Update => Value deleted successfully.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs not found.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs not found.

==== End of Fixlog ====

Und hier die neue Log von Avira:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 17-01-2014
Ran by Michi at 2014-01-17 15:23:39 Run:1
Running from C:\Users\Michi\Downloads
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Users\Michi\AppData\Roaming\Desktop.vbs
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs
HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs"
HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs ()
         
*****************

C:\Users\Michi\AppData\Roaming\Desktop.vbs => Moved successfully.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs => Moved successfully.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs => Moved successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\SysBackUp => Value deleted successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Update => Value deleted successfully.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs not found.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs not found.

==== End of Fixlog ====

Ich habe gegen die neuen Meldungen erstmal selbst nichts unternommen. Ich glaube du kannst mir da besser helfen.

Gruß, Asgar

schrauber · 18.01.2014, 07:46

Das Log von Avira fehlt. Ebenso bitte noch nen frischen Scan mit FRST machen

Asgar92 · 18.01.2014, 14:34

Upps... da hab ich mich doch glatt vertan xD
So hier diesmal wirklich ein Avira-Log:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 17. Januar 2014  15:25


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MICHI-PC

Versionsinformationen:
BUILD.DAT      : 14.0.2.286     55547 Bytes  09.12.2013 11:37:00
AVSCAN.EXE     : 14.0.2.254   1032760 Bytes  17.12.2013 15:35:36
AVSCANRC.DLL   : 14.0.2.180     62008 Bytes  17.12.2013 15:35:36
LUKE.DLL       : 14.0.2.234     65592 Bytes  17.12.2013 15:35:54
AVSCPLR.DLL    : 14.0.2.254    124472 Bytes  17.12.2013 15:35:36
AVREG.DLL      : 14.0.2.212    250424 Bytes  17.12.2013 15:35:34
avlode.dll     : 14.0.2.254    540216 Bytes  17.12.2013 15:35:34
avlode.rdf     : 13.0.1.66      56973 Bytes  15.01.2014 12:33:53
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 18:25:41
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 18:25:41
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 18:25:41
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 18:25:41
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 18:25:41
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 18:25:41
VBASE006.VDF   : 7.11.103.230  2293248 Bytes  24.09.2013 18:25:41
VBASE007.VDF   : 7.11.116.38  5485568 Bytes  28.11.2013 18:21:54
VBASE008.VDF   : 7.11.120.140  1154560 Bytes  19.12.2013 18:41:13
VBASE009.VDF   : 7.11.120.141     2048 Bytes  19.12.2013 18:41:13
VBASE010.VDF   : 7.11.120.142     2048 Bytes  19.12.2013 18:41:13
VBASE011.VDF   : 7.11.120.143     2048 Bytes  19.12.2013 18:41:13
VBASE012.VDF   : 7.11.120.144     2048 Bytes  19.12.2013 18:41:14
VBASE013.VDF   : 7.11.120.145     2048 Bytes  19.12.2013 18:41:14
VBASE014.VDF   : 7.11.121.19   126976 Bytes  21.12.2013 15:56:43
VBASE015.VDF   : 7.11.121.147   122880 Bytes  24.12.2013 18:36:24
VBASE016.VDF   : 7.11.121.233   115712 Bytes  25.12.2013 18:36:24
VBASE017.VDF   : 7.11.122.57   325120 Bytes  27.12.2013 11:34:31
VBASE018.VDF   : 7.11.122.123   199680 Bytes  28.12.2013 14:10:51
VBASE019.VDF   : 7.11.122.219   368640 Bytes  01.01.2014 19:37:21
VBASE020.VDF   : 7.11.123.39   182272 Bytes  03.01.2014 14:17:30
VBASE021.VDF   : 7.11.123.141   124416 Bytes  05.01.2014 16:56:27
VBASE022.VDF   : 7.11.124.11   172032 Bytes  08.01.2014 17:18:57
VBASE023.VDF   : 7.11.124.79   144896 Bytes  09.01.2014 14:42:49
VBASE024.VDF   : 7.11.124.177   178176 Bytes  11.01.2014 14:07:02
VBASE025.VDF   : 7.11.125.41   319488 Bytes  14.01.2014 12:33:53
VBASE026.VDF   : 7.11.125.42     2048 Bytes  14.01.2014 12:33:53
VBASE027.VDF   : 7.11.125.43     2048 Bytes  14.01.2014 12:33:53
VBASE028.VDF   : 7.11.125.44     2048 Bytes  14.01.2014 12:33:53
VBASE029.VDF   : 7.11.125.45     2048 Bytes  14.01.2014 12:33:53
VBASE030.VDF   : 7.11.125.46     2048 Bytes  14.01.2014 12:33:53
VBASE031.VDF   : 7.11.125.146   318464 Bytes  17.01.2014 14:23:31
Engineversion  : 8.2.12.174
AEVDF.DLL      : 8.1.3.4       102774 Bytes  31.10.2013 18:25:18
AESCRIPT.DLL   : 8.1.4.180     520574 Bytes  16.01.2014 18:00:20
AESCN.DLL      : 8.1.10.6      131447 Bytes  11.12.2013 16:28:34
AESBX.DLL      : 8.2.20.6     1331575 Bytes  13.01.2014 18:48:52
AERDL.DLL      : 8.2.0.138     704888 Bytes  02.12.2013 18:00:16
AEPACK.DLL     : 8.3.3.8       762232 Bytes  19.12.2013 18:41:20
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes  31.10.2013 18:25:18
AEHEUR.DLL     : 8.1.4.870    6459770 Bytes  16.01.2014 18:00:19
AEHELP.DLL     : 8.1.27.10     266618 Bytes  22.11.2013 12:42:32
AEGEN.DLL      : 8.1.7.22      446839 Bytes  15.01.2014 18:00:19
AEEXP.DLL      : 8.4.1.164     409976 Bytes  09.01.2014 14:42:57
AEEMU.DLL      : 8.1.3.2       393587 Bytes  31.10.2013 18:25:18
AECORE.DLL     : 8.1.33.0      225657 Bytes  11.12.2013 16:28:34
AEBB.DLL       : 8.1.1.4        53619 Bytes  31.10.2013 18:25:18
AVWINLL.DLL    : 14.0.2.180     23608 Bytes  17.12.2013 15:35:30
AVPREF.DLL     : 14.0.2.180     48696 Bytes  17.12.2013 15:35:34
AVREP.DLL      : 14.0.2.180    175672 Bytes  17.12.2013 15:35:35
AVARKT.DLL     : 14.0.2.254    256056 Bytes  17.12.2013 15:35:31
AVEVTLOG.DLL   : 14.0.2.180    165944 Bytes  17.12.2013 15:35:32
SQLITE3.DLL    : 3.7.0.1       394808 Bytes  31.10.2013 18:25:40
AVSMTP.DLL     : 14.0.2.180     60472 Bytes  17.12.2013 15:35:38
NETNT.DLL      : 14.0.2.180     13368 Bytes  17.12.2013 15:35:54
RCIMAGE.DLL    : 14.0.2.180   4786744 Bytes  17.12.2013 15:35:30
RCTEXT.DLL     : 14.0.2.270     73272 Bytes  17.12.2013 15:35:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_52d93bdd\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig

Beginn des Suchlaufs: Freitag, 17. Januar 2014  15:25

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '191' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV64.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vcsFPService.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'DpHostW.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AESTSr64.exe' - '8' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '198' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray64.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscript.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlug_11_4_76_983.exe' - '82' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe>
  [FUND]      Ist das Trojanische Pferd TR/Kazy.307548.1
  [WARNUNG]   Die Datei wurde ignoriert.
Durchsuche Prozess 'avgnt.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '172' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerMsj.exe' - '82' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe>
  [FUND]      Ist das Trojanische Pferd TR/Kazy.307548.1
  [WARNUNG]   Die Datei wurde ignoriert.
Durchsuche Prozess 'avwebg7.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtStackServer.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_9_900_170.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_9_900_170.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'WScript.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '28' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe
  [FUND]      Ist das Trojanische Pferd TR/Kazy.307548.1
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe
  [FUND]      Ist das Trojanische Pferd TR/Kazy.307548.1
  [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Freitag, 17. Januar 2014  15:27
Benötigte Zeit: 02:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   4453 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   4449 Dateien ohne Befall
     32 Archive wurden durchsucht
      4 Warnungen
      0 Hinweise

Und das frische FRST-Log:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 17-01-2014 03
Ran by Michi (administrator) on MICHI-PC on 18-01-2014 14:32:28
Running from C:\Users\Michi\Downloads
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 11
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(AMD) C:\Windows\System32\atiesrxx.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe
(Hewlett-Packard Company) C:\Windows\System32\hpservice.exe
(Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Microsoft Corporation) C:\Windows\System32\wlanext.exe
(DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe
(Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe
(Microsoft Corporation) C:\Windows\System32\wscript.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
() C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_170.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_170.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avcenter.exe
(Microsoft Corporation) \\?\C:\Windows\system32\wbem\WMIADAP.EXE


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated)
HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.)
HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation)
HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe [373760 2014-01-16] ()
HKCU\...\Run: [SysBackUp] - C:\Users\Michi\AppData\Roaming\SysBackUp.vbs [234620 2013-12-02] ()
Lsa: [Notification Packages] DPPassFilter scecli
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default
FF Homepage: https://www.facebook.com/
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll ()
FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll ()
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10]
FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17]
FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\
FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ []

Chrome: 
=======
Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-18 14:33 - 2014-01-18 14:33 - 01069512 _____ (Solid State Networks) C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe
2014-01-16 21:54 - 2013-12-02 14:08 - 00234620 ___SH C:\Users\Michi\AppData\Roaming\SysBackUp.vbs
2014-01-16 14:28 - 2014-01-18 14:33 - 00009764 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-15 18:40 - 2013-11-27 02:41 - 00343040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00325120 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00099840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00007808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys
2014-01-15 18:40 - 2013-11-26 12:40 - 00376768 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys
2014-01-15 18:40 - 2013-11-26 11:32 - 03156480 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2014-01-15 14:51 - 2014-01-18 14:32 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion
2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT
2014-01-15 14:19 - 2014-01-15 14:21 - 00000000 ____D C:\AdwCleaner
2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt
2014-01-14 15:27 - 2014-01-17 15:18 - 00001378 _____ C:\Windows\PFRO.log
2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip
2014-01-14 14:46 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2014-01-14 14:46 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2014-01-14 14:46 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2014-01-14 14:45 - 2014-01-14 15:13 - 00000000 ____D C:\Qoobox
2014-01-14 14:45 - 2014-01-14 15:09 - 00000000 ____D C:\Windows\erdnt
2014-01-14 13:32 - 2014-01-18 14:32 - 00000000 ____D C:\FRST
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:31 - 2014-01-18 14:32 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-11 09:02 - 2014-01-16 21:54 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
2014-01-11 09:01 - 2014-01-18 14:28 - 00001064 _____ C:\Windows\setupact.log
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 14:58 - 2014-01-17 22:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Origin
2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url
2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll
2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll
2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox

==================== One Month Modified Files and Folders =======

2014-01-18 14:33 - 2014-01-18 14:33 - 01069512 _____ (Solid State Networks) C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe
2014-01-18 14:33 - 2014-01-16 14:28 - 00009764 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-18 14:33 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype
2014-01-18 14:32 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion
2014-01-18 14:32 - 2014-01-14 13:32 - 00000000 ____D C:\FRST
2014-01-18 14:32 - 2014-01-14 13:31 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-18 14:28 - 2014-01-11 09:01 - 00001064 _____ C:\Windows\setupact.log
2014-01-18 14:28 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-17 22:44 - 2013-11-17 17:57 - 01448620 _____ C:\Windows\WindowsUpdate.log
2014-01-17 22:43 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files
2014-01-17 22:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-17 22:23 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files
2014-01-17 15:26 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat
2014-01-17 15:26 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat
2014-01-17 15:26 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI
2014-01-17 15:26 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-17 15:26 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-17 15:23 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-01-17 15:18 - 2014-01-14 15:27 - 00001378 _____ C:\Windows\PFRO.log
2014-01-16 21:54 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
2014-01-16 13:19 - 2009-07-14 05:45 - 00294752 _____ C:\Windows\system32\FNTCACHE.DAT
2014-01-16 13:15 - 2013-12-01 17:53 - 00000000 ____D C:\Windows\system32\MRT
2014-01-16 13:13 - 2013-12-01 17:53 - 86054176 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT
2014-01-15 14:21 - 2014-01-15 14:19 - 00000000 ____D C:\AdwCleaner
2014-01-15 13:47 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam
2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin
2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt
2014-01-14 15:27 - 2013-11-17 18:37 - 00000000 ____D C:\Program Files\WinRAR
2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip
2014-01-14 15:13 - 2014-01-14 14:45 - 00000000 ____D C:\Qoobox
2014-01-14 15:13 - 2009-07-14 04:20 - 00000000 __RHD C:\Users\Default
2014-01-14 15:09 - 2014-01-14 14:45 - 00000000 ____D C:\Windows\erdnt
2014-01-14 14:59 - 2009-07-14 03:34 - 00000215 _____ C:\Windows\system.ini
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi
2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF
2014-01-12 18:23 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia
2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe
2014-01-10 14:58 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe
2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin
2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc
2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3
2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url
2013-12-20 22:05 - 2013-11-17 18:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-12-20 08:42 - 2013-11-17 18:26 - 00000000 ____D C:\Users\Michi\AppData\Local\Mozilla
2013-12-19 17:39 - 2013-11-17 19:03 - 00000000 ____D C:\Users\Michi\workspace
2013-12-19 14:11 - 2013-11-17 21:25 - 00000000 ____D C:\Users\Michi\Exes

Some content of TEMP:
====================
C:\Users\Michi\AppData\Local\Temp\avgnt.exe
C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe
C:\Users\Michi\AppData\Local\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-31 19:57

==================== End Of Log ============================

--- --- ---

schrauber · 19.01.2014, 09:57

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe [373760 2014-01-16] ()
HKCU\...\Run: [SysBackUp] - C:\Users\Michi\AppData\Roaming\SysBackUp.vbs [234620 2013-12-02] ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs ()
2014-01-18 14:33 - 2014-01-18 14:33 - 01069512 _____ (Solid State Networks) C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe
2014-01-16 21:54 - 2013-12-02 14:08 - 00234620 ___SH C:\Users\Michi\AppData\Roaming\SysBackUp.vbs
2014-01-11 09:02 - 2014-01-16 21:54 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
C:\Users\Michi\AppData\Roaming\SysBackUp.vbs

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Asgar92 · 19.01.2014, 13:12

Und einmal das Fixlog:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-01-2014
Ran by Michi at 2014-01-19 13:10:58 Run:3
Running from C:\Users\Michi\Downloads
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe [373760 2014-01-16] ()
HKCU\...\Run: [SysBackUp] - C:\Users\Michi\AppData\Roaming\SysBackUp.vbs [234620 2013-12-02] ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe ()
Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs ()
2014-01-18 14:33 - 2014-01-18 14:33 - 01069512 _____ (Solid State Networks) C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe
2014-01-16 21:54 - 2013-12-02 14:08 - 00234620 ___SH C:\Users\Michi\AppData\Roaming\SysBackUp.vbs
2014-01-11 09:02 - 2014-01-16 21:54 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install
C:\Users\Michi\AppData\Roaming\SysBackUp.vbs
*****************

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\FlashPlayerPlug_11_4_76_983 => Value deleted successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\SysBackUp => Value deleted successfully.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe not found.
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs not found.
"C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe" => File/Directory not found.
"C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" => File/Directory not found.
"C:\Users\Michi\AppData\Roaming\FlashPlayer Install" => File/Directory not found.
"C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" => File/Directory not found.

==== End of Fixlog ====

schrauber · 20.01.2014, 11:07

frisches FRST log bitte.

Asgar92 · 20.01.2014, 14:11

Bitteschön:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-01-2014
Ran by Michi (administrator) on MICHI-PC on 20-01-2014 14:10:19
Running from C:\Users\Michi\Downloads
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 11
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(AMD) C:\Windows\System32\atiesrxx.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Hewlett-Packard Company) C:\Windows\System32\hpservice.exe
(Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe
(Microsoft Corporation) C:\Windows\System32\wlanext.exe
(DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe
(Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_43.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_43.exe
() C:\Riot Games\League of Legends\RADS\system\rads_user_kernel.exe
() C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
() C:\Riot Games\League of Legends\RADS\projects\lol_launcher\releases\0.0.0.198\deploy\LoLLauncher.exe
() C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.1.68\deploy\LolClient.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated)
HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.)
HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation)
HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe
HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs"
Lsa: [Notification Packages] DPPassFilter scecli

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.179.1

FireFox:
========
FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default
FF Homepage: https://www.facebook.com/
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_12_0_0_43.dll ()
FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_12_0_0_43.dll ()
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10]
FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17]
FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\
FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ []

Chrome: 
=======
Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG)
R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-16 14:28 - 2014-01-20 14:10 - 00009511 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-15 18:40 - 2013-11-27 02:41 - 00343040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00325120 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00099840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys
2014-01-15 18:40 - 2013-11-27 02:41 - 00007808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys
2014-01-15 18:40 - 2013-11-26 12:40 - 00376768 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys
2014-01-15 18:40 - 2013-11-26 11:32 - 03156480 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2014-01-15 14:51 - 2014-01-19 13:09 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion
2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT
2014-01-15 14:19 - 2014-01-15 14:21 - 00000000 ____D C:\AdwCleaner
2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt
2014-01-14 15:27 - 2014-01-17 15:18 - 00001378 _____ C:\Windows\PFRO.log
2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip
2014-01-14 14:46 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2014-01-14 14:46 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2014-01-14 14:46 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2014-01-14 14:46 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2014-01-14 14:45 - 2014-01-14 15:13 - 00000000 ____D C:\Qoobox
2014-01-14 14:45 - 2014-01-14 15:09 - 00000000 ____D C:\Windows\erdnt
2014-01-14 13:32 - 2014-01-19 13:09 - 00000000 ____D C:\FRST
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:31 - 2014-01-19 13:09 - 02076672 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-11 09:01 - 2014-01-20 14:06 - 00001232 _____ C:\Windows\setupact.log
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 14:58 - 2014-01-19 21:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-10 14:58 - 2014-01-18 14:35 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-10 14:58 - 2014-01-18 14:35 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-10 14:58 - 2014-01-18 14:35 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Origin
2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url
2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll
2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll
2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll

==================== One Month Modified Files and Folders =======

2014-01-20 14:11 - 2014-01-16 14:28 - 00009511 _____ C:\Users\Michi\Downloads\FRST.txt
2014-01-20 14:11 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files
2014-01-20 14:07 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-20 14:06 - 2014-01-11 09:01 - 00001232 _____ C:\Windows\setupact.log
2014-01-19 22:25 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files
2014-01-19 22:25 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype
2014-01-19 22:25 - 2013-11-17 17:57 - 01473381 _____ C:\Windows\WindowsUpdate.log
2014-01-19 21:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-19 17:43 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3
2014-01-19 13:14 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-19 13:14 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-19 13:13 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat
2014-01-19 13:13 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat
2014-01-19 13:13 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI
2014-01-19 13:10 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-01-19 13:09 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion
2014-01-19 13:09 - 2014-01-14 13:32 - 00000000 ____D C:\FRST
2014-01-19 13:09 - 2014-01-14 13:31 - 02076672 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe
2014-01-19 13:07 - 2013-11-17 19:19 - 00000000 ____D C:\Users\Michi\Games
2014-01-19 13:06 - 2009-07-14 06:08 - 00032632 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2014-01-18 14:40 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe
2014-01-18 14:35 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-01-18 14:35 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-01-18 14:35 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-01-17 15:18 - 2014-01-14 15:27 - 00001378 _____ C:\Windows\PFRO.log
2014-01-16 13:19 - 2009-07-14 05:45 - 00294752 _____ C:\Windows\system32\FNTCACHE.DAT
2014-01-16 13:15 - 2013-12-01 17:53 - 00000000 ____D C:\Windows\system32\MRT
2014-01-16 13:13 - 2013-12-01 17:53 - 86054176 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT
2014-01-15 14:21 - 2014-01-15 14:19 - 00000000 ____D C:\AdwCleaner
2014-01-15 13:47 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam
2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin
2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts
2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt
2014-01-14 15:27 - 2013-11-17 18:37 - 00000000 ____D C:\Program Files\WinRAR
2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip
2014-01-14 15:13 - 2014-01-14 14:45 - 00000000 ____D C:\Qoobox
2014-01-14 15:13 - 2009-07-14 04:20 - 00000000 __RHD C:\Users\Default
2014-01-14 15:09 - 2014-01-14 14:45 - 00000000 ____D C:\Windows\erdnt
2014-01-14 14:59 - 2009-07-14 03:34 - 00000215 _____ C:\Windows\system.ini
2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable
2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi
2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF
2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log
2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk
2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log
2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia
2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe
2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin
2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin
2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games
2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin
2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc
2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3
2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira
2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland
2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url
2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url
2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url

Some content of TEMP:
====================
C:\Users\Michi\AppData\Local\Temp\avgnt.exe
C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe
C:\Users\Michi\AppData\Local\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-31 19:57

==================== End Of Log ============================

--- --- ---

20.01.2014, 11:07	#14
schrauber /// the machine /// TB-Ausbilder	$Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe - Standard$ Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe frisches FRST log bitte. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe

Log-Analyse und Auswertung: Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe