|
Log-Analyse und Auswertung: Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.01.2014, 14:05 | #1 |
| Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Guten Tag, mein Virenscanner meldet mir in unregelmäßigen Abständen, dass der im Titelgenannte Trojaner sich auf dem Pc befindet. Bisher war es mir jedoch nicht möglich ihn über Avira oder MBAM zu entferen. Als Symptom ist bisher lediglich zu erkennen, dass auf bisher allen USB-Wechselmedien die Datein in verknüpfungen umgewandelt wurden, während die Originale nur unter den versteckten Datein zu finden sind. Ich danke schonmal für die Hilfe und hier nun erstmal die Logfiles. Gmer: Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net Rootkit scan 2014-01-14 13:45:16 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 Hitachi_HTS725050A9A364 rev.PC4OC72E 465,76GB Running: ddxmqvc9.exe; Driver: C:\Users\Michi\AppData\Local\Temp\pgloypow.sys ---- Kernel code sections - GMER 2.1 ---- INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528 fffff80002dbc000 52 bytes [FF, FF, FF, FF, FF, FF, FF, ...] INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 582 fffff80002dbc036 27 bytes [FF, FF, FF, FF, FF, FF, FF, ...] ---- User code sections - GMER 2.1 ---- .text C:\Windows\SysWOW64\RunDll32.exe[4740] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076081465 2 bytes [08, 76] .text C:\Windows\SysWOW64\RunDll32.exe[4740] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000760814bb 2 bytes [08, 76] .text ... * 2 ---- Threads - GMER 2.1 ---- Thread C:\Windows\System32\svchost.exe [4680:3084] 000007feeeea9688 ---- Registry - GMER 2.1 ---- Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\70f39568b236 Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\70f39568b236 (not active ControlSet) ---- EOF - GMER 2.1 ---- Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 13-01-2014 02 Ran by Michi (administrator) on MICHI-PC on 14-01-2014 13:32:46 Running from C:\Users\Michi\Downloads Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard Internet Explorer Version 11 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (AMD) C:\Windows\System32\atiesrxx.exe (IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe (Hewlett-Packard Company) C:\Windows\System32\hpservice.exe (AMD) C:\Windows\System32\atieclxx.exe (Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe (Microsoft Corporation) C:\Windows\System32\wlanext.exe (DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE (DigitalPersona, Inc.) C:\Program Files (x86)\DigitalPersona\Bin\DPAgent.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe (Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe (Microsoft Corporation) C:\Windows\System32\wscript.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpAgent.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe (Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated) HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.) HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG) HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-09-05] (Adobe Systems Incorporated) HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.) HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Program Files (x86)\DigitalPersona\Bin\DPAgent.exe, HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation) HKCU\...\Run: [SysBackUp] - C:\Users\Michi\AppData\Roaming\SysBackUp.vbs [234620 2013-12-02] () HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] () HKCU\...\Run: [367d8aa305eb8e84cad21c38ee58cc14] - "C:\Users\Michi\AppData\Roaming\MsnMessenger.exe" .. HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe MountPoints2: {c231bc57-4faf-11e3-a1ff-70f39568b236} - E:\INSTALL.EXE Lsa: [Notification Packages] DPPassFilter scecli Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs () ==================== Internet (Whitelisted) ==================== SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=17/11/2013&type=hp1000 SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=17/11/2013&type=hp1000 SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=17/11/2013&type=hp1000 SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=17/11/2013&type=hp1000 BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) BHO-x32: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) BHO-x32: Softonic Helper Object - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Program Files (x86)\Softonic\Softonic\1.8.21.14\bh\Softonic.dll (Softonic.com) Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - Softonic Toolbar - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files (x86)\Softonic\Softonic\1.8.21.14\SoftonicTlbr.dll (Softonic.com) Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 FireFox: ======== FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default FF SelectedSearchEngine: Web Search FF Homepage: https://www.facebook.com/ FF Keyword.URL: hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&fr=linkury-tb&installDate={installDate}&type=hp1000&p= FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll () FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN) FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll () FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10] FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17] FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ [] Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION CHR Extension: (Softonic Chrome Toolbar) - C:\Users\Michi\AppData\Local\Google\Chrome\User Data\default\extensions\elchiiiejkobdbblfejjkbphbddgmljf\1.0_0 [2013-11-17] CHR HKLM-x32\...\Chrome\Extension: [elchiiiejkobdbblfejjkbphbddgmljf] - C:\Program Files (x86)\Softonic\Softonic\1.8.21.14\Softonic.crx [2013-06-11] ==================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG) ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG) R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG) R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd) S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2014-01-14 13:32 - 2014-01-14 13:33 - 00011255 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-14 13:32 - 2014-01-14 13:32 - 00000472 _____ C:\Users\Michi\Downloads\defogger_disable.log 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 ____D C:\FRST 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:31 - 2014-01-14 13:31 - 02075648 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-14 13:31 - 2014-01-14 13:31 - 00050477 _____ C:\Users\Michi\Downloads\Defogger.exe 2014-01-14 13:30 - 2014-01-14 13:30 - 00377856 _____ C:\Users\Michi\Downloads\ddxmqvc9.exe 2014-01-14 12:58 - 2014-01-14 12:58 - 12319113 _____ C:\Users\Michi\Downloads\Androidwelt_05_13.zip 2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install 2014-01-11 09:01 - 2014-01-14 12:40 - 00000616 _____ C:\Windows\setupact.log 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 14:58 - 2014-01-14 13:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin 2014-01-09 15:44 - 2014-01-09 15:47 - 00000000 ____D C:\ProgramData\Origin 2014-01-09 15:44 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-09 15:43 - 2014-01-09 15:43 - 16952720 _____ (Electronic Arts, Inc.) C:\Users\Michi\Downloads\OriginThinSetup.exe 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-25 23:09 - 2013-12-25 23:09 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs 2013-12-25 23:07 - 2014-01-02 10:12 - 00020539 _____ C:\Users\Michi\AppData\Roaming\MsnMessenger.exe.tmp 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url 2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll 2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll 2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2013-12-17 17:55 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys 2013-12-17 17:08 - 2013-12-02 14:08 - 00234620 ___SH C:\Users\Michi\AppData\Roaming\SysBackUp.vbs ==================== One Month Modified Files and Folders ======= 2014-01-14 13:33 - 2014-01-14 13:32 - 00011255 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-14 13:32 - 2014-01-14 13:32 - 00000472 _____ C:\Users\Michi\Downloads\defogger_disable.log 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 ____D C:\FRST 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi 2014-01-14 13:31 - 2014-01-14 13:31 - 02075648 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-14 13:31 - 2014-01-14 13:31 - 00050477 _____ C:\Users\Michi\Downloads\Defogger.exe 2014-01-14 13:30 - 2014-01-14 13:30 - 00377856 _____ C:\Users\Michi\Downloads\ddxmqvc9.exe 2014-01-14 13:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-14 13:00 - 2013-11-17 17:57 - 01196005 _____ C:\Windows\WindowsUpdate.log 2014-01-14 12:58 - 2014-01-14 12:58 - 12319113 _____ C:\Users\Michi\Downloads\Androidwelt_05_13.zip 2014-01-14 12:48 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2014-01-14 12:48 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2014-01-14 12:40 - 2014-01-11 09:01 - 00000616 _____ C:\Windows\setupact.log 2014-01-14 12:40 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2014-01-13 21:56 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files 2014-01-13 21:56 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files 2014-01-13 18:05 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype 2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF 2014-01-12 19:33 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat 2014-01-12 19:33 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat 2014-01-12 19:33 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI 2014-01-12 18:23 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3 2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia 2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe 2014-01-10 14:58 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe 2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin 2014-01-10 14:37 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam 2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-09 15:47 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin 2014-01-09 15:45 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2014-01-09 15:44 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-09 15:43 - 2014-01-09 15:43 - 16952720 _____ (Electronic Arts, Inc.) C:\Users\Michi\Downloads\OriginThinSetup.exe 2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc 2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3 2014-01-02 10:12 - 2013-12-25 23:07 - 00020539 _____ C:\Users\Michi\AppData\Roaming\MsnMessenger.exe.tmp 2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-25 23:09 - 2013-12-25 23:09 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url 2013-12-20 22:05 - 2013-11-17 18:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2013-12-20 08:42 - 2013-11-17 18:26 - 00000000 ____D C:\Users\Michi\AppData\Local\Mozilla 2013-12-19 17:39 - 2013-11-17 19:03 - 00000000 ____D C:\Users\Michi\workspace 2013-12-19 14:11 - 2013-11-17 21:25 - 00000000 ____D C:\Users\Michi\Exes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2013-12-17 16:35 - 2013-11-17 18:14 - 00131576 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys 2013-12-17 16:35 - 2013-11-17 18:14 - 00108440 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys 2013-12-17 16:35 - 2013-11-17 18:14 - 00084720 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys Some content of TEMP: ==================== C:\Users\Michi\AppData\Local\Temp\avgnt.exe C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe C:\Users\Michi\AppData\Local\Temp\install_flashplayer11x32_mssd_aaa_aih.exe ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2013-12-31 19:57 ==================== End Of Log ============================ Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x64) Version: 13-01-2014 02 Ran by Michi at 2014-01-14 13:33:47 Running from C:\Users\Michi\Downloads Boot Mode: Normal ========================================================== ==================== Security Center ======================== AV: Avira Desktop (Disabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C} AS: Avira Desktop (Disabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691} AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} ==================== Installed Programs ====================== 7-PDF Maker Version 1.4.1 (Build 128) (x32 Version: 7-PDF Maker - Version 1.4.1 (Build 128) - 7-PDF, Germany - Thorsten Hodes) Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) Adobe Reader XI (11.0.05) - Deutsch (x32 Version: 11.0.05 - Adobe Systems Incorporated) AIMP3 (x32 Version: v3.55.1332, 21.12.2013 - AIMP DevTeam) AMD Catalyst Install Manager (Version: 8.0.915.0 - Advanced Micro Devices, Inc.) AMD USB Filter Driver (x32 Version: 1.0.15.94 - Advanced Micro Devices, Inc.) Hidden Avira Free Antivirus (x32 Version: 14.0.2.286 - Avira) Borderlands 2 (x32 Version: - Gearbox Software) Broadcom 2070 Bluetooth 3.0 (Version: 6.3.0.6300 - Broadcom Corporation) Broadcom 802.11 Wireless LAN Adapter (Version: 5.60.350.6 - Broadcom Corporation) Catalyst Control Center - Branding (x32 Version: 1.00.0000 - ATI) Hidden Catalyst Control Center Core Implementation (x32 Version: 2010.0416.541.8279 - ATI) Hidden Catalyst Control Center Graphics Full Existing (x32 Version: 2010.0416.541.8279 - ATI) Hidden Catalyst Control Center Graphics Full New (x32 Version: 2010.0416.541.8279 - ATI) Hidden Catalyst Control Center Graphics Light (x32 Version: 2010.0416.541.8279 - ATI) Hidden Catalyst Control Center Graphics Previews Common (x32 Version: 2010.0416.541.8279 - ATI) Hidden Catalyst Control Center Graphics Previews Vista (x32 Version: 2010.0416.541.8279 - ATI) Hidden Catalyst Control Center InstallProxy (x32 Version: 2013.1008.932.15229 - Advanced Micro Devices, Inc.) Hidden Catalyst Control Center Localization All (x32 Version: 2010.0416.541.8279 - ATI) Hidden CCC Help Chinese Standard (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Chinese Traditional (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Czech (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Danish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Dutch (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help English (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Finnish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help French (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help German (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Greek (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Hungarian (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Italian (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Japanese (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Korean (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Norwegian (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Polish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Portuguese (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Russian (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Spanish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Swedish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Thai (x32 Version: 2010.0416.0540.8279 - ATI) Hidden CCC Help Turkish (x32 Version: 2010.0416.0540.8279 - ATI) Hidden ccc-core-static (x32 Version: 2010.0416.541.8279 - Ihr Firmenname) Hidden ccc-utility64 (Version: 2010.0416.541.8279 - ATI) Hidden CCleaner (Version: 4.07 - Piriform) CPUID CPU-Z 1.67.1 (Version: - ) D3DX10 (x32 Version: 15.4.2368.0902 - Microsoft) Hidden DAEMON Tools Lite (x32 Version: 4.48.1.0347 - Disc Soft Ltd) Dota 2 (x32 Version: - Valve) Evoland (x32 Version: - Shiro Games) Fallout (x32 Version: 2.0.0.14 - GOG.com) Fotogalerie (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden HP MediaSmart Webcam (x32 Version: 2.1.1208 - Hewlett-Packard) HP MediaSmart Webcam (x32 Version: 2.1.1208 - Hewlett-Packard) Hidden HP SimplePass Identity Protection (Version: 5.10.175 - DigitalPersona, Inc.) IDT Audio (x32 Version: 1.0.6292.0 - IDT) Java 7 Update 45 (64-bit) (Version: 7.0.450 - Oracle) Kingdoms of Amalur: Reckoning (x32 Version: 1.0.0.0 - Electronic Arts) League of Legends (x32 Version: 3.0.0 - Riot Games) League of Legends (x32 Version: 3.0.0 - Riot Games) Hidden MAGIX Burn routines (64-Bit) (Version: 9.0.0.212 - MAGIX AG) MAGIX Low Latency Driver (64-Bit) (Version: 2.10.2011.0 - MAGIX AG) MAGIX Speed burnR (MSI) (x32 Version: 7.0.1.27 - MAGIX AG) Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300 - Malwarebytes Corporation) Microsoft .NET Framework 4.5.1 (DEU) (Version: 4.5.50938 - Microsoft Corporation) Hidden Microsoft .NET Framework 4.5.1 (Deutsch) (Version: 4.5.50938 - Microsoft Corporation) Microsoft .NET Framework 4.5.1 (Version: 4.5.50938 - Microsoft Corporation) Hidden Microsoft Application Error Reporting (Version: 12.0.6015.5000 - Microsoft Corporation) Hidden Microsoft SQL Server 2005 Compact Edition [ENU] (x32 Version: 3.1.0000 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.56336 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.61001 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (Version: 8.0.59192 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (Version: 8.0.61000 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (Version: 9.0.30729.4148 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (x32 Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727 (x32 Version: 11.0.50727.1 - Microsoft Corporation) Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727 (x32 Version: 11.0.50727.1 - Microsoft Corporation) Microsoft Visual C++ 2012 x64 Additional Runtime - 11.0.50727 (Version: 11.0.50727 - Microsoft Corporation) Hidden Microsoft Visual C++ 2012 x64 Minimum Runtime - 11.0.50727 (Version: 11.0.50727 - Microsoft Corporation) Hidden Microsoft Visual C++ 2012 x86 Additional Runtime - 11.0.50727 (x32 Version: 11.0.50727 - Microsoft Corporation) Hidden Microsoft Visual C++ 2012 x86 Minimum Runtime - 11.0.50727 (x32 Version: 11.0.50727 - Microsoft Corporation) Hidden Movie Maker (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Mozilla Firefox 26.0 (x86 de) (x32 Version: 26.0 - Mozilla) Mozilla Maintenance Service (x32 Version: 26.0 - Mozilla) MSVCRT (x32 Version: 15.4.2862.0708 - Microsoft) Hidden MSVCRT110 (x32 Version: 16.4.1108.0727 - Microsoft) Hidden MSVCRT110_amd64 (Version: 16.4.1109.0912 - Microsoft) Hidden MSXML 4.0 SP3 Parser (KB2758694) (x32 Version: 4.30.2117.0 - Microsoft Corporation) MSXML 4.0 SP3 Parser (x32 Version: 4.30.2100.0 - Microsoft Corporation) OpenOffice 4.0.1 (x32 Version: 4.01.9714 - Apache Software Foundation) Origin (x32 Version: 9.3.11.2762 - Electronic Arts, Inc.) Pando Media Booster (x32 Version: 2.6.0.7 - Pando Networks Inc.) Photo Common (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Photo Gallery (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Realtek USB 2.0 Card Reader (x32 Version: 6.1.7600.30113 - Realtek Semiconductor Corp.) Samplitude Pro X Download Version (x32 Version: 12.0.0.59 - MAGIX AG) Samplitude Pro X Download Version (x32 Version: 12.0.0.59 - MAGIX AG) Hidden Skype™ 6.11 (x32 Version: 6.11.102 - Skype Technologies S.A.) Softonic toolbar on IE and Chrome (x32 Version: 1.8.21.14 - Softonic) <==== ATTENTION Sonic Generations (x32 Version: - Devil's Details) Steam (x32 Version: 1.0.0.0 - Valve Corporation) SUPER © v2013.build.58+Recorder (2013/11/13) Version v2013.buil (x32 Version: v2013.build.58+Recorder - eRightSoft) Synaptics Pointing Device Driver (Version: 15.1.6.64 - Synaptics Incorporated) The Binding of Isaac (x32 Version: - Edmund McMillen and Florian Himsl) Validity Sensors DDK (Version: 4.1.139.0 - Validity Sensors, Inc.) VLC media player 2.1.1 (Version: 2.1.1 - VideoLAN) Windows Live Communications Platform (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Windows Live Essentials (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Windows Live Essentials (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Windows Live ID Sign-in Assistant (Version: 7.250.4311.0 - Microsoft Corporation) Hidden Windows Live Installer (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Windows Live Photo Common (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Windows Live PIMT Platform (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Windows Live SOXE (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Windows Live SOXE Definitions (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Windows Live UX Platform (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden Windows Live UX Platform Language Pack (x32 Version: 16.4.3508.0205 - Microsoft Corporation) Hidden WinRAR 5.00 (64-Bit) (Version: 5.00.0 - win.rar GmbH) ==================== Restore Points ========================= 25-12-2013 18:36:05 Windows Update 31-12-2013 12:20:36 Windows Update 03-01-2014 14:18:38 Windows Update 07-01-2014 09:29:48 Windows Update 10-01-2014 13:37:55 Windows Update 10-01-2014 17:43:34 DirectX wurde installiert 14-01-2014 11:47:20 Windows Update ==================== Hosts content: ========================== 2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts ==================== Scheduled Tasks (whitelisted) ============= Task: {22A2D9CE-29F8-4EC0-AE8A-ADAC9753BD29} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-01-10] (Adobe Systems Incorporated) Task: {B4B3E131-F67D-4A3E-93AB-82EFE2CDD814} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2013-10-22] (Piriform Ltd) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe ==================== Loaded Modules (whitelisted) ============= 2010-07-29 19:39 - 2010-07-29 19:39 - 00173856 _____ () C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll 2010-03-09 14:34 - 2010-03-09 14:34 - 00016384 ____R () C:\Program Files (x86)\ATI Technologies\ATI.ACE\Branding\Branding.dll 2013-12-05 15:40 - 2013-12-05 15:40 - 00270336 _____ () C:\Windows\assembly\GAC_MSIL\CLI.Aspect.CrossDisplay.Graphics.Dashboard\1.0.0.0__90ba9c70f846762e\CLI.Aspect.CrossDisplay.Graphics.Dashboard.dll 2013-11-17 18:14 - 2013-10-31 19:25 - 00394808 _____ () C:\Program Files (x86)\Avira\AntiVir Desktop\sqlite3.dll 2013-12-20 09:28 - 2013-12-20 09:28 - 03559024 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll ==================== Alternate Data Streams (whitelisted) ========= ==================== Safe Mode (whitelisted) =================== HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DpHost => ""="Service" ==================== Faulty Device Manager Devices ============= ==================== Event log errors: ========================= Application errors: ================== Error: (01/11/2014 06:31:44 PM) (Source: Application Error) (User: ) Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1051, Zeitstempel: 0x4bc8375e Name des fehlerhaften Moduls: atiadlxx.dll, Version: 6.14.10.1054, Zeitstempel: 0x4bc829d9 Ausnahmecode: 0xc0000005 Fehleroffset: 0x000000000001e858 ID des fehlerhaften Prozesses: 0x464 Startzeit der fehlerhaften Anwendung: 0xatieclxx.exe0 Pfad der fehlerhaften Anwendung: atieclxx.exe1 Pfad des fehlerhaften Moduls: atieclxx.exe2 Berichtskennung: atieclxx.exe3 Error: (01/06/2014 03:36:56 PM) (Source: Application Error) (User: ) Description: Name der fehlerhaften Anwendung: wscript.exe, Version: 5.8.7601.18283, Zeitstempel: 0x5258a6e6 Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000 Ausnahmecode: 0xc0000005 Fehleroffset: 0x0000000000000000 ID des fehlerhaften Prozesses: 0x844 Startzeit der fehlerhaften Anwendung: 0xwscript.exe0 Pfad der fehlerhaften Anwendung: wscript.exe1 Pfad des fehlerhaften Moduls: wscript.exe2 Berichtskennung: wscript.exe3 Error: (01/02/2014 02:59:24 PM) (Source: Application Error) (User: ) Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1051, Zeitstempel: 0x4bc8375e Name des fehlerhaften Moduls: atiadlxx.dll, Version: 6.14.10.1054, Zeitstempel: 0x4bc829d9 Ausnahmecode: 0xc0000005 Fehleroffset: 0x000000000001e858 ID des fehlerhaften Prozesses: 0x474 Startzeit der fehlerhaften Anwendung: 0xatieclxx.exe0 Pfad der fehlerhaften Anwendung: atieclxx.exe1 Pfad des fehlerhaften Moduls: atieclxx.exe2 Berichtskennung: atieclxx.exe3 Error: (01/01/2014 08:42:34 PM) (Source: Application Error) (User: ) Description: Name der fehlerhaften Anwendung: firefox.exe, Version: 26.0.0.5087, Zeitstempel: 0x52a0d273 Name des fehlerhaften Moduls: xul.dll, Version: 26.0.0.5087, Zeitstempel: 0x52a0d20a Ausnahmecode: 0xc0000005 Fehleroffset: 0x0014e1a8 ID des fehlerhaften Prozesses: 0x125c Startzeit der fehlerhaften Anwendung: 0xfirefox.exe0 Pfad der fehlerhaften Anwendung: firefox.exe1 Pfad des fehlerhaften Moduls: firefox.exe2 Berichtskennung: firefox.exe3 Error: (12/28/2013 06:54:25 PM) (Source: Application Hang) (User: ) Description: Programm League of Legends.exe, Version 3.15.0.260 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: 48c Startzeit: 01cf03f59f231668 Endzeit: 22 Anwendungspfad: C:\Riot Games\League of Legends\RADS\solutions\lol_game_client_sln\releases\0.0.1.4\deploy\League of Legends.exe Berichts-ID: Error: (12/28/2013 04:51:01 PM) (Source: Application Hang) (User: ) Description: Programm League of Legends.exe, Version 3.15.0.260 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: c68 Startzeit: 01cf03e23b5378e8 Endzeit: 52 Anwendungspfad: C:\Riot Games\League of Legends\RADS\solutions\lol_game_client_sln\releases\0.0.1.4\deploy\League of Legends.exe Berichts-ID: Error: (12/19/2013 04:05:01 PM) (Source: Application Error) (User: ) Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1051, Zeitstempel: 0x4bc8375e Name des fehlerhaften Moduls: atiadlxx.dll, Version: 6.14.10.1054, Zeitstempel: 0x4bc829d9 Ausnahmecode: 0xc0000005 Fehleroffset: 0x000000000001e858 ID des fehlerhaften Prozesses: 0x47c Startzeit der fehlerhaften Anwendung: 0xatieclxx.exe0 Pfad der fehlerhaften Anwendung: atieclxx.exe1 Pfad des fehlerhaften Moduls: atieclxx.exe2 Berichtskennung: atieclxx.exe3 Error: (12/17/2013 04:35:08 PM) (Source: Application Error) (User: ) Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1051, Zeitstempel: 0x4bc8375e Name des fehlerhaften Moduls: atiadlxx.dll, Version: 6.14.10.1054, Zeitstempel: 0x4bc829d9 Ausnahmecode: 0xc0000005 Fehleroffset: 0x000000000001e858 ID des fehlerhaften Prozesses: 0x4e8 Startzeit der fehlerhaften Anwendung: 0xatieclxx.exe0 Pfad der fehlerhaften Anwendung: atieclxx.exe1 Pfad des fehlerhaften Moduls: atieclxx.exe2 Berichtskennung: atieclxx.exe3 Error: (12/14/2013 06:02:37 PM) (Source: Application Error) (User: ) Description: Name der fehlerhaften Anwendung: Explorer.EXE, Version: 6.1.7601.17567, Zeitstempel: 0x4d672ee4 Name des fehlerhaften Moduls: WINHTTP.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7ca23 Ausnahmecode: 0xc0000005 Fehleroffset: 0x0000000000001376 ID des fehlerhaften Prozesses: 0x3dc Startzeit der fehlerhaften Anwendung: 0xExplorer.EXE0 Pfad der fehlerhaften Anwendung: Explorer.EXE1 Pfad des fehlerhaften Moduls: Explorer.EXE2 Berichtskennung: Explorer.EXE3 Error: (12/10/2013 06:25:57 PM) (Source: BugSplat) (User: ) Description: Pando_WinPando-1 System errors: ============= Error: (01/12/2014 06:23:42 PM) (Source: DCOM) (User: ) Description: {F9717507-6651-4EDB-BFF7-AE615179BCCF} Error: (01/08/2014 07:40:12 PM) (Source: DCOM) (User: ) Description: 1053WSearch{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39} Error: (01/08/2014 07:40:12 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Windows Search" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error: (01/08/2014 07:40:11 PM) (Source: Service Control Manager) (User: ) Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Windows Search erreicht. Error: (01/02/2014 08:48:47 PM) (Source: DCOM) (User: ) Description: {51FA2736-5DEE-11D4-98E8-006008BF430C} Error: (12/22/2013 03:56:45 AM) (Source: Ntfs) (User: ) Description: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar. Führen Sie auf dem Volume "\Device\HarddiskVolumeShadowCopy1" den Befehl "chkdsk" aus. Error: (12/22/2013 03:56:30 AM) (Source: Microsoft-Windows-Kernel-General) (User: NT-AUTORITÄT) Description: 0x8000002a171\??\Volume{57cdfbeb-4fa8-11e3-ae65-806e6f6e6963}\System Volume Information\SPP\SppCbsHiveStore\{cd42efe1-f6f1-427c-b004-033192c625a4}{E62E45A1-2531-4BD3-8377-2C8552505203} Error: (12/22/2013 03:56:12 AM) (Source: Ntfs) (User: ) Description: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar. Führen Sie auf dem Volume "\Device\HarddiskVolumeShadowCopy1" den Befehl "chkdsk" aus. Error: (12/22/2013 03:56:09 AM) (Source: Ntfs) (User: ) Description: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar. Führen Sie auf dem Volume "\Device\HarddiskVolumeShadowCopy1" den Befehl "chkdsk" aus. Error: (12/22/2013 03:56:09 AM) (Source: Ntfs) (User: ) Description: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar. Führen Sie auf dem Volume "\Device\HarddiskVolumeShadowCopy1" den Befehl "chkdsk" aus. Microsoft Office Sessions: ========================= Error: (01/11/2014 06:31:44 PM) (Source: Application Error)(User: ) Description: atieclxx.exe6.14.11.10514bc8375eatiadlxx.dll6.14.10.10544bc829d9c0000005000000000001e85846401cf0eca97aea03cC:\Windows\system32\atieclxx.exeC:\Windows\system32\atiadlxx.dll3d291f57-7ae6-11e3-9e1a-70f39568b236 Error: (01/06/2014 03:36:56 PM) (Source: Application Error)(User: ) Description: wscript.exe5.8.7601.182835258a6e6unknown0.0.0.000000000c0000005000000000000000084401cf0aeca1acc5b3C:\Windows\System32\wscript.exeunknownfdc7b9b2-76df-11e3-a0d7-70f39568b236 Error: (01/02/2014 02:59:24 PM) (Source: Application Error)(User: ) Description: atieclxx.exe6.14.11.10514bc8375eatiadlxx.dll6.14.10.10544bc829d9c0000005000000000001e85847401cf0798f1200358C:\Windows\system32\atieclxx.exeC:\Windows\system32\atiadlxx.dll15e3750d-73b6-11e3-8f96-70f39568b236 Error: (01/01/2014 08:42:34 PM) (Source: Application Error)(User: ) Description: firefox.exe26.0.0.508752a0d273xul.dll26.0.0.508752a0d20ac00000050014e1a8125c01cf0729027498dbC:\Program Files (x86)\Mozilla Firefox\firefox.exeC:\Program Files (x86)\Mozilla Firefox\xul.dlldc0f2191-731c-11e3-aee9-70f39568b236 Error: (12/28/2013 06:54:25 PM) (Source: Application Hang)(User: ) Description: League of Legends.exe3.15.0.26048c01cf03f59f23166822C:\Riot Games\League of Legends\RADS\solutions\lol_game_client_sln\releases\0.0.1.4\deploy\League of Legends.exe Error: (12/28/2013 04:51:01 PM) (Source: Application Hang)(User: ) Description: League of Legends.exe3.15.0.260c6801cf03e23b5378e852C:\Riot Games\League of Legends\RADS\solutions\lol_game_client_sln\releases\0.0.1.4\deploy\League of Legends.exe Error: (12/19/2013 04:05:01 PM) (Source: Application Error)(User: ) Description: atieclxx.exe6.14.11.10514bc8375eatiadlxx.dll6.14.10.10544bc829d9c0000005000000000001e85847c01cefcb6b98aed75C:\Windows\system32\atieclxx.exeC:\Windows\system32\atiadlxx.dllee40a65e-68be-11e3-acf9-70f39568b236 Error: (12/17/2013 04:35:08 PM) (Source: Application Error)(User: ) Description: atieclxx.exe6.14.11.10514bc8375eatiadlxx.dll6.14.10.10544bc829d9c0000005000000000001e8584e801cefb078141f0d2C:\Windows\system32\atieclxx.exeC:\Windows\system32\atiadlxx.dllce5bf17e-6730-11e3-8796-70f39568b236 Error: (12/14/2013 06:02:37 PM) (Source: Application Error)(User: ) Description: Explorer.EXE6.1.7601.175674d672ee4WINHTTP.dll6.1.7601.175144ce7ca23c000000500000000000013763dc01cef8e3c2eeff2bC:\Windows\Explorer.EXEC:\Windows\system32\WINHTTP.dll88527144-64e1-11e3-95f2-70f39568b236 Error: (12/10/2013 06:25:57 PM) (Source: BugSplat)(User: ) Description: Pando_WinPando-1 CodeIntegrity Errors: =================================== Date: 2013-11-20 12:27:42.563 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-11-20 12:27:42.492 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-11-20 12:27:42.073 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-11-20 12:27:42.001 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-11-20 12:21:42.715 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-11-20 12:21:42.689 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-11-20 12:21:42.177 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-11-20 12:21:42.149 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-11-20 12:21:32.081 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-11-20 12:21:32.054 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\RMClock\RTCore64.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. ==================== Memory info =========================== Percentage of memory in use: 39% Total physical RAM: 3834.9 MB Available physical RAM: 2324.37 MB Total Pagefile: 7667.98 MB Available Pagefile: 5719.4 MB Total Virtual: 8192 MB Available Virtual: 8191.81 MB ==================== Drives ================================ Drive c: () (Fixed) (Total:465.66 GB) (Free:343.75 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: FF65E8E8) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=466 GB) - (Type=07 NTFS) ==================== End Of Log ============================ Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1) Log created at 13:32 on 14/01/2014 (Michi) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- Mbam: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.12.29.03 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 11.0.9600.16476 Michi :: MICHI-PC [Administrator] 31.12.2013 22:35:40 mbam-log-2013-12-31 (22-35-40).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 208087 Laufzeit: 6 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 1 C:\Users\Michi\AppData\Roaming\MsnMessenger.exe (Trojan.MSIL) -> 1444 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|367d8aa305eb8e84cad21c38ee58cc14 (Trojan.MSIL) -> Daten: "C:\Users\Michi\AppData\Roaming\MsnMessenger.exe" .. -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\Michi\AppData\Roaming\MsnMessenger.exe (Trojan.MSIL) -> Löschen bei Neustart. C:\Users\Michi\AppData\Roaming\Avira\FlashGot.exe (Trojan.MSIL) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Avira: Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Samstag, 11. Januar 2014 13:45 Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : MICHI-PC Versionsinformationen: BUILD.DAT : 14.0.2.286 55547 Bytes 09.12.2013 11:37:00 AVSCAN.EXE : 14.0.2.254 1032760 Bytes 17.12.2013 15:35:36 AVSCANRC.DLL : 14.0.2.180 62008 Bytes 17.12.2013 15:35:36 LUKE.DLL : 14.0.2.234 65592 Bytes 17.12.2013 15:35:54 AVSCPLR.DLL : 14.0.2.254 124472 Bytes 17.12.2013 15:35:36 AVREG.DLL : 14.0.2.212 250424 Bytes 17.12.2013 15:35:34 avlode.dll : 14.0.2.254 540216 Bytes 17.12.2013 15:35:34 avlode.rdf : 13.0.1.62 56973 Bytes 09.12.2013 17:06:52 VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 18:25:41 VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 18:25:41 VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 18:25:41 VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 18:25:41 VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 18:25:41 VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 18:25:41 VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 18:25:41 VBASE007.VDF : 7.11.116.38 5485568 Bytes 28.11.2013 18:21:54 VBASE008.VDF : 7.11.120.140 1154560 Bytes 19.12.2013 18:41:13 VBASE009.VDF : 7.11.120.141 2048 Bytes 19.12.2013 18:41:13 VBASE010.VDF : 7.11.120.142 2048 Bytes 19.12.2013 18:41:13 VBASE011.VDF : 7.11.120.143 2048 Bytes 19.12.2013 18:41:13 VBASE012.VDF : 7.11.120.144 2048 Bytes 19.12.2013 18:41:14 VBASE013.VDF : 7.11.120.145 2048 Bytes 19.12.2013 18:41:14 VBASE014.VDF : 7.11.121.19 126976 Bytes 21.12.2013 15:56:43 VBASE015.VDF : 7.11.121.147 122880 Bytes 24.12.2013 18:36:24 VBASE016.VDF : 7.11.121.233 115712 Bytes 25.12.2013 18:36:24 VBASE017.VDF : 7.11.122.57 325120 Bytes 27.12.2013 11:34:31 VBASE018.VDF : 7.11.122.123 199680 Bytes 28.12.2013 14:10:51 VBASE019.VDF : 7.11.122.219 368640 Bytes 01.01.2014 19:37:21 VBASE020.VDF : 7.11.123.39 182272 Bytes 03.01.2014 14:17:30 VBASE021.VDF : 7.11.123.141 124416 Bytes 05.01.2014 16:56:27 VBASE022.VDF : 7.11.124.11 172032 Bytes 08.01.2014 17:18:57 VBASE023.VDF : 7.11.124.79 144896 Bytes 09.01.2014 14:42:49 VBASE024.VDF : 7.11.124.80 2048 Bytes 09.01.2014 14:42:49 VBASE025.VDF : 7.11.124.81 2048 Bytes 09.01.2014 14:42:50 VBASE026.VDF : 7.11.124.82 2048 Bytes 09.01.2014 14:42:53 VBASE027.VDF : 7.11.124.83 2048 Bytes 09.01.2014 14:42:53 VBASE028.VDF : 7.11.124.84 2048 Bytes 09.01.2014 14:42:53 VBASE029.VDF : 7.11.124.85 2048 Bytes 09.01.2014 14:42:53 VBASE030.VDF : 7.11.124.86 2048 Bytes 09.01.2014 14:42:53 VBASE031.VDF : 7.11.124.170 219648 Bytes 11.01.2014 08:07:02 Engineversion : 8.2.12.168 AEVDF.DLL : 8.1.3.4 102774 Bytes 31.10.2013 18:25:18 AESCRIPT.DLL : 8.1.4.178 520574 Bytes 09.01.2014 14:42:57 AESCN.DLL : 8.1.10.6 131447 Bytes 11.12.2013 16:28:34 AESBX.DLL : 8.2.16.26 1245560 Bytes 31.10.2013 18:25:18 AERDL.DLL : 8.2.0.138 704888 Bytes 02.12.2013 18:00:16 AEPACK.DLL : 8.3.3.8 762232 Bytes 19.12.2013 18:41:20 AEOFFICE.DLL : 8.1.2.76 205181 Bytes 31.10.2013 18:25:18 AEHEUR.DLL : 8.1.4.858 6439290 Bytes 09.01.2014 14:42:57 AEHELP.DLL : 8.1.27.10 266618 Bytes 22.11.2013 12:42:32 AEGEN.DLL : 8.1.7.20 446839 Bytes 17.11.2013 17:18:51 AEEXP.DLL : 8.4.1.164 409976 Bytes 09.01.2014 14:42:57 AEEMU.DLL : 8.1.3.2 393587 Bytes 31.10.2013 18:25:18 AECORE.DLL : 8.1.33.0 225657 Bytes 11.12.2013 16:28:34 AEBB.DLL : 8.1.1.4 53619 Bytes 31.10.2013 18:25:18 AVWINLL.DLL : 14.0.2.180 23608 Bytes 17.12.2013 15:35:30 AVPREF.DLL : 14.0.2.180 48696 Bytes 17.12.2013 15:35:34 AVREP.DLL : 14.0.2.180 175672 Bytes 17.12.2013 15:35:35 AVARKT.DLL : 14.0.2.254 256056 Bytes 17.12.2013 15:35:31 AVEVTLOG.DLL : 14.0.2.180 165944 Bytes 17.12.2013 15:35:32 SQLITE3.DLL : 3.7.0.1 394808 Bytes 31.10.2013 18:25:40 AVSMTP.DLL : 14.0.2.180 60472 Bytes 17.12.2013 15:35:38 NETNT.DLL : 14.0.2.180 13368 Bytes 17.12.2013 15:35:54 RCIMAGE.DLL : 14.0.2.180 4786744 Bytes 17.12.2013 15:35:30 RCTEXT.DLL : 14.0.2.270 73272 Bytes 17.12.2013 15:35:30 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_52d13c53\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: Reparieren Sekundäre Aktion......................: Quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Prüfe alle Dateien....................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: Vollständig Beginn des Suchlaufs: Samstag, 11. Januar 2014 13:45 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '121' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '134' Modul(e) wurden durchsucht Durchsuche Prozess 'STacSV64.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'Hpservice.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'vcsFPService.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'DpHostW.exe' - '91' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'AESTSr64.exe' - '8' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '108' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'DPAgent.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '189' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'sttray64.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'ISUSPM.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'wscript.exe' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '103' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'DPAgent.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'avwebg7.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '178' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'BtStackServer.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'RunDll32.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '127' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '109' Modul(e) wurden durchsucht Durchsuche Prozess 'sppsvc.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\Michi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IG52FE41\Book[1].pdf' C:\Users\Michi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IG52FE41\Book[1].pdf [FUND] Ist das Trojanische Pferd TR/Kryptik.667648.52 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5af0ad9f.qua' verschoben! Beginne mit der Suche in 'C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe' C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe [FUND] Ist das Trojanische Pferd TR/Kryptik.667648.52 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '42158235.qua' verschoben! Ende des Suchlaufs: Samstag, 11. Januar 2014 13:45 Benötigte Zeit: 00:16 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 914 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 912 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 2 Hinweise Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Montag, 13. Januar 2014 19:48 Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : MICHI-PC Versionsinformationen: BUILD.DAT : 14.0.2.286 55547 Bytes 09.12.2013 11:37:00 AVSCAN.EXE : 14.0.2.254 1032760 Bytes 17.12.2013 15:35:36 AVSCANRC.DLL : 14.0.2.180 62008 Bytes 17.12.2013 15:35:36 LUKE.DLL : 14.0.2.234 65592 Bytes 17.12.2013 15:35:54 AVSCPLR.DLL : 14.0.2.254 124472 Bytes 17.12.2013 15:35:36 AVREG.DLL : 14.0.2.212 250424 Bytes 17.12.2013 15:35:34 avlode.dll : 14.0.2.254 540216 Bytes 17.12.2013 15:35:34 avlode.rdf : 13.0.1.62 56973 Bytes 09.12.2013 17:06:52 VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 18:25:41 VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 18:25:41 VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 18:25:41 VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 18:25:41 VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 18:25:41 VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 18:25:41 VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 18:25:41 VBASE007.VDF : 7.11.116.38 5485568 Bytes 28.11.2013 18:21:54 VBASE008.VDF : 7.11.120.140 1154560 Bytes 19.12.2013 18:41:13 VBASE009.VDF : 7.11.120.141 2048 Bytes 19.12.2013 18:41:13 VBASE010.VDF : 7.11.120.142 2048 Bytes 19.12.2013 18:41:13 VBASE011.VDF : 7.11.120.143 2048 Bytes 19.12.2013 18:41:13 VBASE012.VDF : 7.11.120.144 2048 Bytes 19.12.2013 18:41:14 VBASE013.VDF : 7.11.120.145 2048 Bytes 19.12.2013 18:41:14 VBASE014.VDF : 7.11.121.19 126976 Bytes 21.12.2013 15:56:43 VBASE015.VDF : 7.11.121.147 122880 Bytes 24.12.2013 18:36:24 VBASE016.VDF : 7.11.121.233 115712 Bytes 25.12.2013 18:36:24 VBASE017.VDF : 7.11.122.57 325120 Bytes 27.12.2013 11:34:31 VBASE018.VDF : 7.11.122.123 199680 Bytes 28.12.2013 14:10:51 VBASE019.VDF : 7.11.122.219 368640 Bytes 01.01.2014 19:37:21 VBASE020.VDF : 7.11.123.39 182272 Bytes 03.01.2014 14:17:30 VBASE021.VDF : 7.11.123.141 124416 Bytes 05.01.2014 16:56:27 VBASE022.VDF : 7.11.124.11 172032 Bytes 08.01.2014 17:18:57 VBASE023.VDF : 7.11.124.79 144896 Bytes 09.01.2014 14:42:49 VBASE024.VDF : 7.11.124.177 178176 Bytes 11.01.2014 14:07:02 VBASE025.VDF : 7.11.124.178 2048 Bytes 11.01.2014 14:07:02 VBASE026.VDF : 7.11.124.179 2048 Bytes 11.01.2014 14:07:02 VBASE027.VDF : 7.11.124.180 2048 Bytes 11.01.2014 14:07:02 VBASE028.VDF : 7.11.124.181 2048 Bytes 11.01.2014 14:07:02 VBASE029.VDF : 7.11.124.182 2048 Bytes 11.01.2014 14:07:02 VBASE030.VDF : 7.11.124.183 2048 Bytes 11.01.2014 14:07:02 VBASE031.VDF : 7.11.124.244 202240 Bytes 13.01.2014 11:18:46 Engineversion : 8.2.12.168 AEVDF.DLL : 8.1.3.4 102774 Bytes 31.10.2013 18:25:18 AESCRIPT.DLL : 8.1.4.178 520574 Bytes 09.01.2014 14:42:57 AESCN.DLL : 8.1.10.6 131447 Bytes 11.12.2013 16:28:34 AESBX.DLL : 8.2.16.26 1245560 Bytes 31.10.2013 18:25:18 AERDL.DLL : 8.2.0.138 704888 Bytes 02.12.2013 18:00:16 AEPACK.DLL : 8.3.3.8 762232 Bytes 19.12.2013 18:41:20 AEOFFICE.DLL : 8.1.2.76 205181 Bytes 31.10.2013 18:25:18 AEHEUR.DLL : 8.1.4.858 6439290 Bytes 09.01.2014 14:42:57 AEHELP.DLL : 8.1.27.10 266618 Bytes 22.11.2013 12:42:32 AEGEN.DLL : 8.1.7.20 446839 Bytes 17.11.2013 17:18:51 AEEXP.DLL : 8.4.1.164 409976 Bytes 09.01.2014 14:42:57 AEEMU.DLL : 8.1.3.2 393587 Bytes 31.10.2013 18:25:18 AECORE.DLL : 8.1.33.0 225657 Bytes 11.12.2013 16:28:34 AEBB.DLL : 8.1.1.4 53619 Bytes 31.10.2013 18:25:18 AVWINLL.DLL : 14.0.2.180 23608 Bytes 17.12.2013 15:35:30 AVPREF.DLL : 14.0.2.180 48696 Bytes 17.12.2013 15:35:34 AVREP.DLL : 14.0.2.180 175672 Bytes 17.12.2013 15:35:35 AVARKT.DLL : 14.0.2.254 256056 Bytes 17.12.2013 15:35:31 AVEVTLOG.DLL : 14.0.2.180 165944 Bytes 17.12.2013 15:35:32 SQLITE3.DLL : 3.7.0.1 394808 Bytes 31.10.2013 18:25:40 AVSMTP.DLL : 14.0.2.180 60472 Bytes 17.12.2013 15:35:38 NETNT.DLL : 14.0.2.180 13368 Bytes 17.12.2013 15:35:54 RCIMAGE.DLL : 14.0.2.180 4786744 Bytes 17.12.2013 15:35:30 RCTEXT.DLL : 14.0.2.270 73272 Bytes 17.12.2013 15:35:30 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_52d433c4\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: Reparieren Sekundäre Aktion......................: Quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Prüfe alle Dateien....................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: Vollständig Beginn des Suchlaufs: Montag, 13. Januar 2014 19:48 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '119' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht Durchsuche Prozess 'STacSV64.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'Hpservice.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'vcsFPService.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'DpHostW.exe' - '91' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'AESTSr64.exe' - '8' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '108' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'DPAgent.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '185' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'sttray64.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'ISUSPM.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'wscript.exe' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '104' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '175' Modul(e) wurden durchsucht Durchsuche Prozess 'DPAgent.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerMsj.exe' - '77' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe> [FUND] Ist das Trojanische Pferd TR/Kryptik.667648.52 [HINWEIS] Prozess 'FlashPlayerMsj.exe' wurde beendet [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d2d9963.qua' verschoben! Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'avwebg7.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'RunDll32.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'BtStackServer.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '127' Modul(e) wurden durchsucht Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'rads_user_kernel.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'LoLLauncher.exe' - '88' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'LolClient.exe' - '114' Modul(e) wurden durchsucht Durchsuche Prozess 'sppsvc.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'update.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'League of Legends.exe' - '117' Modul(e) wurden durchsucht Durchsuche Prozess 'updrgui.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe' Der zu durchsuchende Pfad C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe konnte nicht geöffnet werden! Systemfehler [2]: Das System kann die angegebene Datei nicht finden. Ende des Suchlaufs: Montag, 13. Januar 2014 19:51 Benötigte Zeit: 02:56 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 4632 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 4631 Dateien ohne Befall 33 Archive wurden durchsucht 0 Warnungen 1 Hinweise |
14.01.2014, 14:26 | #2 |
/// the machine /// TB-Ausbilder | Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe hi,
__________________Scan mit Combofix
__________________ |
14.01.2014, 15:20 | #3 |
| Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Danke für die schnelle Antwort.
__________________Hier die Datei. Leider war sie zu groß für die Code-Tags, daher als Anhang. |
15.01.2014, 09:40 | #4 |
/// the machine /// TB-Ausbilder | Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Hi, Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen. So funktioniert es: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Downloade Dir bitte Malwarebytes Anti-Malware
Downloade Dir bitte AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
und ein frisches FRST log bitte.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
15.01.2014, 14:40 | #5 |
| Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Hier die Logs: Mbam: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2014.01.15.04 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 11.0.9600.16476 Michi :: MICHI-PC [Administrator] 15.01.2014 14:11:47 mbam-log-2014-01-15 (14-11-47).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 208239 Laufzeit: 6 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter # AdwCleaner v3.017 - Bericht erstellt am 15/01/2014 um 14:21:07 # Aktualisiert 12/01/2014 von Xplode # Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits) # Benutzername : Michi - MICHI-PC # Gestartet von : C:\Users\Michi\Desktop\adwcleaner.exe # Option : Löschen ***** [ Dienste ] ***** ***** [ Dateien / Ordner ] ***** Ordner Gelöscht : C:\Program Files (x86)\Softonic Ordner Gelöscht : C:\Users\Michi\AppData\Local\Google\Chrome\User Data\Default\Extensions\elchiiiejkobdbblfejjkbphbddgmljf ***** [ Verknüpfungen ] ***** ***** [ Registrierungsdatenbank ] ***** Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\elchiiiejkobdbblfejjkbphbddgmljf Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\esrv.EXE Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\escort.escortIEPane Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\escort.escortIEPane.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SoftonicApp.appCore Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SoftonicApp.appCore.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\srv.SoftonicSrvc Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\srv.SoftonicSrvc.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\smartbar_rasapi32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\smartbar_rasmancs Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{7ABBFE1C-E485-44AA-8F36-353751B4124D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B15F118E-AF21-45E8-A809-29FDD7362565} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{44B50C01-4993-48E2-ADEE-D812BAE2E9A2} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{5018CFD2-804D-4C99-9F81-25EAEA2769DE} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A3E2F089-DDBB-4CBF-B06C-5D44DA316ED3} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A5679AB0-C59E-49E7-83C4-5289F844A6E0} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CA0167C2-6295-41B8-9BDA-704B2F5E4CD9} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E87806B5-E908-45FD-AF5E-957D83E58E68} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{087CDC12-0A11-4D1D-8DCF-44185D7C3496} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{088BF3A9-6AE8-47B9-A3FB-26262F236C79} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2AC7B9EB-3881-4EB9-8DEE-0A731A309FDE} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{349C0469-ACDD-49DF-9B3E-0D82E7C7DC4D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{41226591-6F7A-4082-B63A-67FE4A0CF7A6} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{55D69CD1-6715-4C40-BF05-9519AC4DC6E6} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66C8FD57-54C4-4D4F-BC95-DCCC763B410A} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{717BAE33-7061-4279-8AE5-6C13BC8AF3F9} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{84F06F7A-F811-48D7-8B34-3F4145183D8F} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{88F6D55F-AA3F-4003-BE69-4AC1998D6492} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8DBCDED5-08AD-41A2-9BBC-235D84F4FE06} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A0F66203-1A86-4812-9603-A57E09A4D7A3} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BC39D1B3-4471-41C1-AACA-E097FAF4B7AA} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DEB85542-1311-4EC6-8A32-5372EB27FC94} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11D9E165-B8C1-4734-A56C-BC4FCACA966B} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{B15F118E-AF21-45E8-A809-29FDD7362565} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E87806B5-E908-45FD-AF5E-957D83E58E68} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9CF034EA-7B46-48D3-8895-8A14B32AE445} Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5} Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{5018CFD2-804D-4C99-9F81-25EAEA2769DE}] Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{087CDC12-0A11-4D1D-8DCF-44185D7C3496} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{088BF3A9-6AE8-47B9-A3FB-26262F236C79} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{2AC7B9EB-3881-4EB9-8DEE-0A731A309FDE} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{349C0469-ACDD-49DF-9B3E-0D82E7C7DC4D} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{41226591-6F7A-4082-B63A-67FE4A0CF7A6} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{55D69CD1-6715-4C40-BF05-9519AC4DC6E6} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{66C8FD57-54C4-4D4F-BC95-DCCC763B410A} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{717BAE33-7061-4279-8AE5-6C13BC8AF3F9} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{84F06F7A-F811-48D7-8B34-3F4145183D8F} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{88F6D55F-AA3F-4003-BE69-4AC1998D6492} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{8DBCDED5-08AD-41A2-9BBC-235D84F4FE06} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{A0F66203-1A86-4812-9603-A57E09A4D7A3} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{BC39D1B3-4471-41C1-AACA-E097FAF4B7AA} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{DEB85542-1311-4EC6-8A32-5372EB27FC94} Wert Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}] Schlüssel Gelöscht : HKCU\Software\OCS Schlüssel Gelöscht : HKCU\Software\Softonic Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Show-Password Schlüssel Gelöscht : HKLM\Software\Softonic Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Softonic ***** [ Browser ] ***** -\\ Internet Explorer v11.0.9600.16428 Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [Default] Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [Default] -\\ Mozilla Firefox v26.0 (de) [ Datei : C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\prefs.js ] Zeile gelöscht : user_pref("browser.search.selectedEngine", "Web Search"); Zeile gelöscht : user_pref("extensions.Softonic.admin", false); Zeile gelöscht : user_pref("extensions.Softonic.aflt", "OC"); Zeile gelöscht : user_pref("extensions.Softonic.appId", "{7ABBFE1C-E485-44AA-8F36-353751B4124D}"); Zeile gelöscht : user_pref("extensions.Softonic.autoRvrt", "false"); Zeile gelöscht : user_pref("extensions.Softonic.dfltLng", "de"); Zeile gelöscht : user_pref("extensions.Softonic.dfltSrch", true); Zeile gelöscht : user_pref("extensions.Softonic.dnsErr", true); Zeile gelöscht : user_pref("extensions.Softonic.excTlbr", false); Zeile gelöscht : user_pref("extensions.Softonic.ffxUnstlRst", false); Zeile gelöscht : user_pref("extensions.Softonic.hmpg", true); Zeile gelöscht : user_pref("extensions.Softonic.hmpgUrl", "hxxp://search.softonic.com/MOY00621/tb_v1?SearchSource=13&cc=&mi=727e844200000000000070f3953b2d1f"); Zeile gelöscht : user_pref("extensions.Softonic.id", "727e844200000000000070f3953b2d1f"); Zeile gelöscht : user_pref("extensions.Softonic.instlDay", "16026"); Zeile gelöscht : user_pref("extensions.Softonic.instlRef", "MOY00621"); Zeile gelöscht : user_pref("extensions.Softonic.newTab", true); Zeile gelöscht : user_pref("extensions.Softonic.newTabUrl", "hxxp://search.softonic.com/MOY00621/tb_v1/?SearchSource=15&cc=&mi=727e844200000000000070f3953b2d1f"); Zeile gelöscht : user_pref("extensions.Softonic.prdct", "Softonic"); Zeile gelöscht : user_pref("extensions.Softonic.prtnrId", "softonic"); Zeile gelöscht : user_pref("extensions.Softonic.rvrt", "false"); Zeile gelöscht : user_pref("extensions.Softonic.smplGrp", "none"); Zeile gelöscht : user_pref("extensions.Softonic.srchPrvdr", "Search the web (Softonic)"); Zeile gelöscht : user_pref("extensions.Softonic.tlbrId", "opencandy2013"); Zeile gelöscht : user_pref("extensions.Softonic.tlbrSrchUrl", "hxxp://search.softonic.com/MOY00621/tb_v1?SearchSource=1&cc=&mi=727e844200000000000070f3953b2d1f&q="); Zeile gelöscht : user_pref("extensions.Softonic.vrsn", "1.8.21.14"); Zeile gelöscht : user_pref("extensions.Softonic.vrsnTs", "1.8.21.1419:28:38"); Zeile gelöscht : user_pref("extensions.Softonic.vrsni", "1.8.21.14"); Zeile gelöscht : user_pref("keyword.URL", "hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=5f3c8dc3-3a0b-f69e-bf19-6e08e9b53899&searchtype=ds&fr=linkury-tb&installDate={installDate}&type=hp1000&[...] ************************* AdwCleaner[R0].txt - [10780 octets] - [15/01/2014 14:19:31] AdwCleaner[S0].txt - [10059 octets] - [15/01/2014 14:21:07] ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [10120 octets] ########## Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.1.0 (01.07.2014:1) OS: Windows 7 Home Premium x64 Ran by Michi on 15.01.2014 at 14:25:29,77 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values ~~~ Registry Keys Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\caphyon Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\Softonic_chr_1_RASAPI32 Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\Softonic_chr_1_RASMANCS Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\Softonic_chr_1_RASAPI32 Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\Softonic_chr_1_RASMANCS ~~~ Files ~~~ Folders Successfully deleted: [Folder] "C:\Windows\syswow64\ai_recyclebin" ~~~ FireFox Emptied folder: C:\Users\Michi\AppData\Roaming\mozilla\firefox\profiles\05tgzta3.default\minidumps [48 files] ~~~ Event Viewer Logs were cleared ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 15.01.2014 at 14:32:46,96 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-01-2014 01 Ran by Michi (administrator) on MICHI-PC on 15-01-2014 14:52:50 Running from C:\Users\Michi\Downloads Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard Internet Explorer Version 11 Boot Mode: Normal The only official download link for FRST: Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ Download link from any site other than Bleeping Computer is unpermitted or outdated. See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Processes (Whitelisted) ================= (AMD) C:\Windows\System32\atiesrxx.exe (IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe (AMD) C:\Windows\System32\atieclxx.exe (Hewlett-Packard Company) C:\Windows\System32\hpservice.exe (Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe (Microsoft Corporation) C:\Windows\System32\wlanext.exe (DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe (Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe (Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated) HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.) HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG) HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.) HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation) HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] () Lsa: [Notification Packages] DPPassFilter scecli Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs () ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 FireFox: ======== FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default FF Homepage: https://www.facebook.com/ FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll () FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN) FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll () FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10] FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17] FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ [] Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION ==================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG) ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG) R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG) R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd) U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2014-01-15 14:52 - 2014-01-15 14:52 - 00009169 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-15 14:51 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion 2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT 2014-01-15 14:19 - 2014-01-15 14:21 - 00000000 ____D C:\AdwCleaner 2014-01-15 14:14 - 2014-01-15 14:14 - 01037068 _____ (Thisisu) C:\Users\Michi\Desktop\JRT.exe 2014-01-15 14:09 - 2014-01-15 14:09 - 01236282 _____ C:\Users\Michi\Desktop\adwcleaner.exe 2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt 2014-01-14 15:28 - 2013-12-25 23:09 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs 2014-01-14 15:27 - 2014-01-14 15:27 - 00000552 _____ C:\Windows\PFRO.log 2014-01-14 15:17 - 2014-01-14 15:17 - 01110476 _____ C:\Users\Michi\Downloads\7z920.exe 2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip 2014-01-14 14:46 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe 2014-01-14 14:46 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe 2014-01-14 14:46 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe 2014-01-14 14:45 - 2014-01-14 15:13 - 00000000 ____D C:\Qoobox 2014-01-14 14:45 - 2014-01-14 15:09 - 00000000 ____D C:\Windows\erdnt 2014-01-14 14:42 - 2014-01-14 14:42 - 05166068 ____R (Swearware) C:\Users\Michi\Desktop\ComboFix.exe 2014-01-14 13:32 - 2014-01-15 14:51 - 00000000 ____D C:\FRST 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:31 - 2014-01-15 14:51 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-14 13:31 - 2014-01-14 13:31 - 00050477 _____ C:\Users\Michi\Downloads\Defogger.exe 2014-01-14 13:30 - 2014-01-14 13:30 - 00377856 _____ C:\Users\Michi\Downloads\ddxmqvc9.exe 2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install 2014-01-11 09:01 - 2014-01-15 14:22 - 00000784 _____ C:\Windows\setupact.log 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 14:58 - 2014-01-15 14:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Origin 2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url 2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll 2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll 2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2013-12-17 17:55 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys ==================== One Month Modified Files and Folders ======= 2014-01-15 14:53 - 2014-01-15 14:52 - 00009169 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-15 14:52 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype 2014-01-15 14:51 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion 2014-01-15 14:51 - 2014-01-14 13:32 - 00000000 ____D C:\FRST 2014-01-15 14:51 - 2014-01-14 13:31 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-15 14:30 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2014-01-15 14:30 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2014-01-15 14:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT 2014-01-15 14:22 - 2014-01-11 09:01 - 00000784 _____ C:\Windows\setupact.log 2014-01-15 14:22 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2014-01-15 14:21 - 2014-01-15 14:19 - 00000000 ____D C:\AdwCleaner 2014-01-15 14:21 - 2013-11-17 17:57 - 01227215 _____ C:\Windows\WindowsUpdate.log 2014-01-15 14:18 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files 2014-01-15 14:18 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files 2014-01-15 14:14 - 2014-01-15 14:14 - 01037068 _____ (Thisisu) C:\Users\Michi\Desktop\JRT.exe 2014-01-15 14:09 - 2014-01-15 14:09 - 01236282 _____ C:\Users\Michi\Desktop\adwcleaner.exe 2014-01-15 13:47 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam 2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin 2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt 2014-01-14 15:27 - 2014-01-14 15:27 - 00000552 _____ C:\Windows\PFRO.log 2014-01-14 15:27 - 2013-11-17 18:37 - 00000000 ____D C:\Program Files\WinRAR 2014-01-14 15:17 - 2014-01-14 15:17 - 01110476 _____ C:\Users\Michi\Downloads\7z920.exe 2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip 2014-01-14 15:13 - 2014-01-14 14:45 - 00000000 ____D C:\Qoobox 2014-01-14 15:09 - 2014-01-14 14:45 - 00000000 ____D C:\Windows\erdnt 2014-01-14 14:59 - 2009-07-14 03:34 - 00000215 _____ C:\Windows\system.ini 2014-01-14 14:42 - 2014-01-14 14:42 - 05166068 ____R (Swearware) C:\Users\Michi\Desktop\ComboFix.exe 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi 2014-01-14 13:31 - 2014-01-14 13:31 - 00050477 _____ C:\Users\Michi\Downloads\Defogger.exe 2014-01-14 13:30 - 2014-01-14 13:30 - 00377856 _____ C:\Users\Michi\Downloads\ddxmqvc9.exe 2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF 2014-01-12 19:33 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat 2014-01-12 19:33 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat 2014-01-12 19:33 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI 2014-01-12 18:23 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3 2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia 2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe 2014-01-10 14:58 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe 2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin 2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-09 15:45 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc 2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3 2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-25 23:09 - 2014-01-14 15:28 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url 2013-12-20 22:05 - 2013-11-17 18:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2013-12-20 08:42 - 2013-11-17 18:26 - 00000000 ____D C:\Users\Michi\AppData\Local\Mozilla 2013-12-19 17:39 - 2013-11-17 19:03 - 00000000 ____D C:\Users\Michi\workspace 2013-12-19 14:11 - 2013-11-17 21:25 - 00000000 ____D C:\Users\Michi\Exes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2013-12-17 16:35 - 2013-11-17 18:14 - 00131576 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys 2013-12-17 16:35 - 2013-11-17 18:14 - 00108440 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys 2013-12-17 16:35 - 2013-11-17 18:14 - 00084720 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys Some content of TEMP: ==================== C:\Users\Michi\AppData\Local\Temp\avgnt.exe C:\Users\Michi\AppData\Local\Temp\Quarantine.exe ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2013-12-31 19:57 ==================== End Of Log ============================ Geändert von Asgar92 (15.01.2014 um 14:55 Uhr) |
16.01.2014, 08:58 | #6 |
/// the machine /// TB-Ausbilder | Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exeESET Online Scanner
Downloade Dir bitte SecurityCheck und:
und ein frisches FRST log bitte. Noch Probleme?
__________________ --> Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe |
16.01.2014, 14:31 | #7 |
| Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Hier einmal die frischen logs. FRSt: FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-01-2014 01 Ran by Michi (administrator) on MICHI-PC on 16-01-2014 14:28:57 Running from C:\Users\Michi\Downloads Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard Internet Explorer Version 11 Boot Mode: Normal The only official download link for FRST: Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ Download link from any site other than Bleeping Computer is unpermitted or outdated. See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Processes (Whitelisted) ================= (AMD) C:\Windows\System32\atiesrxx.exe (IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe (Hewlett-Packard Company) C:\Windows\System32\hpservice.exe (Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe (Microsoft Corporation) C:\Windows\System32\wlanext.exe (DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe (AMD) C:\Windows\System32\atieclxx.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe (Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe (ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe (Apache Software Foundation) C:\Program Files (x86)\OpenOffice 4\program\swriter.exe (Apache Software Foundation) C:\Program Files (x86)\OpenOffice 4\program\soffice.exe (Apache Software Foundation) C:\Program Files (x86)\OpenOffice 4\program\soffice.bin (Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated) HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.) HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG) HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.) HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation) HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] () Lsa: [Notification Packages] DPPassFilter scecli Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs () ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 FireFox: ======== FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default FF Homepage: https://www.facebook.com/ FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll () FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN) FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll () FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10] FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17] FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ [] Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION ==================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG) ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG) R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG) R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd) U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2014-01-16 14:28 - 2014-01-16 14:28 - 00009501 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-16 14:28 - 2014-01-16 14:28 - 00000752 _____ C:\Users\Michi\Desktop\checkup.txt 2014-01-16 14:23 - 2014-01-16 14:23 - 00987410 _____ C:\Users\Michi\Desktop\SecurityCheck.exe 2014-01-15 18:40 - 2013-11-27 02:41 - 00343040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00325120 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00099840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00007808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys 2014-01-15 18:40 - 2013-11-26 12:40 - 00376768 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys 2014-01-15 18:40 - 2013-11-26 11:32 - 03156480 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys 2014-01-15 14:51 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion 2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT 2014-01-15 14:19 - 2014-01-15 14:21 - 00000000 ____D C:\AdwCleaner 2014-01-15 14:14 - 2014-01-15 14:14 - 01037068 _____ (Thisisu) C:\Users\Michi\Desktop\JRT.exe 2014-01-15 14:09 - 2014-01-15 14:09 - 01236282 _____ C:\Users\Michi\Desktop\adwcleaner.exe 2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt 2014-01-14 15:28 - 2013-12-25 23:09 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs 2014-01-14 15:27 - 2014-01-14 15:27 - 00000552 _____ C:\Windows\PFRO.log 2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip 2014-01-14 14:46 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe 2014-01-14 14:46 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe 2014-01-14 14:46 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe 2014-01-14 14:45 - 2014-01-14 15:13 - 00000000 ____D C:\Qoobox 2014-01-14 14:45 - 2014-01-14 15:09 - 00000000 ____D C:\Windows\erdnt 2014-01-14 14:42 - 2014-01-14 14:42 - 05166068 ____R (Swearware) C:\Users\Michi\Desktop\ComboFix.exe 2014-01-14 13:32 - 2014-01-15 14:51 - 00000000 ____D C:\FRST 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:31 - 2014-01-15 14:51 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install 2014-01-11 09:01 - 2014-01-16 13:19 - 00000952 _____ C:\Windows\setupact.log 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 14:58 - 2014-01-16 14:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Origin 2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url 2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll 2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll 2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2013-12-17 17:55 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys ==================== One Month Modified Files and Folders ======= 2014-01-16 14:29 - 2014-01-16 14:28 - 00009501 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-16 14:28 - 2014-01-16 14:28 - 00000752 _____ C:\Users\Michi\Desktop\checkup.txt 2014-01-16 14:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-16 14:24 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype 2014-01-16 14:23 - 2014-01-16 14:23 - 00987410 _____ C:\Users\Michi\Desktop\SecurityCheck.exe 2014-01-16 13:38 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat 2014-01-16 13:38 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat 2014-01-16 13:38 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI 2014-01-16 13:28 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2014-01-16 13:28 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2014-01-16 13:25 - 2013-11-17 17:57 - 01387655 _____ C:\Windows\WindowsUpdate.log 2014-01-16 13:19 - 2014-01-11 09:01 - 00000952 _____ C:\Windows\setupact.log 2014-01-16 13:19 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2014-01-16 13:19 - 2009-07-14 05:45 - 00294752 _____ C:\Windows\system32\FNTCACHE.DAT 2014-01-16 13:15 - 2013-12-01 17:53 - 00000000 ____D C:\Windows\system32\MRT 2014-01-16 13:13 - 2013-12-01 17:53 - 86054176 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe 2014-01-16 01:33 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files 2014-01-16 01:33 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files 2014-01-15 14:51 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion 2014-01-15 14:51 - 2014-01-14 13:32 - 00000000 ____D C:\FRST 2014-01-15 14:51 - 2014-01-14 13:31 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT 2014-01-15 14:21 - 2014-01-15 14:19 - 00000000 ____D C:\AdwCleaner 2014-01-15 14:14 - 2014-01-15 14:14 - 01037068 _____ (Thisisu) C:\Users\Michi\Desktop\JRT.exe 2014-01-15 14:09 - 2014-01-15 14:09 - 01236282 _____ C:\Users\Michi\Desktop\adwcleaner.exe 2014-01-15 13:47 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam 2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin 2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt 2014-01-14 15:27 - 2014-01-14 15:27 - 00000552 _____ C:\Windows\PFRO.log 2014-01-14 15:27 - 2013-11-17 18:37 - 00000000 ____D C:\Program Files\WinRAR 2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip 2014-01-14 15:13 - 2014-01-14 14:45 - 00000000 ____D C:\Qoobox 2014-01-14 15:13 - 2009-07-14 04:20 - 00000000 __RHD C:\Users\Default 2014-01-14 15:09 - 2014-01-14 14:45 - 00000000 ____D C:\Windows\erdnt 2014-01-14 14:59 - 2009-07-14 03:34 - 00000215 _____ C:\Windows\system.ini 2014-01-14 14:42 - 2014-01-14 14:42 - 05166068 ____R (Swearware) C:\Users\Michi\Desktop\ComboFix.exe 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi 2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF 2014-01-12 18:23 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3 2014-01-11 09:02 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia 2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe 2014-01-10 14:58 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe 2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin 2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-09 15:45 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc 2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3 2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-25 23:09 - 2014-01-14 15:28 - 00015601 _____ C:\Users\Michi\AppData\Roaming\Desktop.vbs 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url 2013-12-20 22:05 - 2013-11-17 18:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2013-12-20 08:42 - 2013-11-17 18:26 - 00000000 ____D C:\Users\Michi\AppData\Local\Mozilla 2013-12-19 17:39 - 2013-11-17 19:03 - 00000000 ____D C:\Users\Michi\workspace 2013-12-19 14:11 - 2013-11-17 21:25 - 00000000 ____D C:\Users\Michi\Exes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-12-17 17:55 - 2013-12-17 17:55 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2013-12-17 16:35 - 2013-11-17 18:14 - 00131576 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys 2013-12-17 16:35 - 2013-11-17 18:14 - 00108440 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys 2013-12-17 16:35 - 2013-11-17 18:14 - 00084720 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys Some content of TEMP: ==================== C:\Users\Michi\AppData\Local\Temp\avgnt.exe C:\Users\Michi\AppData\Local\Temp\Quarantine.exe ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2013-12-31 19:57 ==================== End Of Log ============================ --- --- --- ESET: Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=39a3fd607a7de44f90f0a0fcb1d9acd8 # engine=16676 # end=stopped # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2014-01-16 01:20:29 # local_time=2014-01-16 02:20:29 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1799 16775165 100 94 7434 6638111 434 0 # compatibility_mode=5893 16776573 100 94 181958 141508279 0 0 # scanned=58725 # found=6 # cleaned=0 # scan_time=2421 sh=2078520BDA3ABB355722FCB3C5526C0B139A479F ft=0 fh=0000000000000000 vn="VBS/TrojanDownloader.Small.NBK trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Michi\AppData\Roaming\Desktop.vbs.vir" sh=64458E7A4DB4E767711BCB0E9D473E5A03ABBEAA ft=0 fh=0000000000000000 vn="VBS/Agent.NET worm" ac=I fn="C:\Qoobox\Quarantine\C\Users\Michi\AppData\Roaming\SysBackUp.vbs.vir" sh=6634D1727B9892B4976CB06C0DDC1BE734258DA8 ft=1 fh=b212203f9bf78561 vn="a variant of MSIL/ChadowTek.C trojan" ac=I fn="C:\Users\Michi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1WNYI2NR\Book[1].pdf" sh=2078520BDA3ABB355722FCB3C5526C0B139A479F ft=0 fh=0000000000000000 vn="VBS/TrojanDownloader.Small.NBK trojan" ac=I fn="C:\Users\Michi\AppData\Roaming\Desktop.vbs" sh=2078520BDA3ABB355722FCB3C5526C0B139A479F ft=0 fh=0000000000000000 vn="VBS/TrojanDownloader.Small.NBK trojan" ac=I fn="C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs" sh=64458E7A4DB4E767711BCB0E9D473E5A03ABBEAA ft=0 fh=0000000000000000 vn="VBS/Agent.NET worm" ac=I fn="C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs" Code:
ATTFilter Results of screen317's Security Check version 0.99.78 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 11 ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.75.0.1300 Adobe Flash Player 11.9.900.170 Adobe Reader XI Mozilla Firefox (26.0) ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Und Probleme habe ich auf dem Rechner an sich nicht mehr, nur die Datenträger funktionieren noch immer nicht. Nach wie vor der selbe Fehler, wie ich ihn im ersten Post beschrieben habe. |
17.01.2014, 12:20 | #8 |
/// the machine /// TB-Ausbilder | Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter C:\Users\Michi\AppData\Roaming\Desktop.vbs C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs () Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Teste nochmal
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
17.01.2014, 15:31 | #9 |
| Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe So hab deine Anweisungen befolgt, die Wechseldatenträger machen aber immernoch Probleme und zusätzlich hat mein Avira auch noch mal rumgemeckert. Erstmal die gefragte Log: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 17-01-2014 Ran by Michi at 2014-01-17 15:23:39 Run:1 Running from C:\Users\Michi\Downloads Boot Mode: Normal ============================================== Content of fixlist: ***************** C:\Users\Michi\AppData\Roaming\Desktop.vbs C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs () ***************** C:\Users\Michi\AppData\Roaming\Desktop.vbs => Moved successfully. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs => Moved successfully. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs => Moved successfully. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\SysBackUp => Value deleted successfully. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Update => Value deleted successfully. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs not found. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs not found. ==== End of Fixlog ==== Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 17-01-2014 Ran by Michi at 2014-01-17 15:23:39 Run:1 Running from C:\Users\Michi\Downloads Boot Mode: Normal ============================================== Content of fixlist: ***************** C:\Users\Michi\AppData\Roaming\Desktop.vbs C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" HKCU\...\Run: [Windows Update] - C:\Users\Michi\AppData\Roaming\Desktop.vbs [15601 2013-12-25] () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs () ***************** C:\Users\Michi\AppData\Roaming\Desktop.vbs => Moved successfully. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs => Moved successfully. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs => Moved successfully. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\SysBackUp => Value deleted successfully. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Update => Value deleted successfully. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.vbs not found. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs not found. ==== End of Fixlog ==== Gruß, Asgar |
18.01.2014, 07:46 | #10 |
/// the machine /// TB-Ausbilder | Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Das Log von Avira fehlt. Ebenso bitte noch nen frischen Scan mit FRST machen
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
18.01.2014, 14:34 | #11 |
| Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Upps... da hab ich mich doch glatt vertan xD So hier diesmal wirklich ein Avira-Log: Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Freitag, 17. Januar 2014 15:25 Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : MICHI-PC Versionsinformationen: BUILD.DAT : 14.0.2.286 55547 Bytes 09.12.2013 11:37:00 AVSCAN.EXE : 14.0.2.254 1032760 Bytes 17.12.2013 15:35:36 AVSCANRC.DLL : 14.0.2.180 62008 Bytes 17.12.2013 15:35:36 LUKE.DLL : 14.0.2.234 65592 Bytes 17.12.2013 15:35:54 AVSCPLR.DLL : 14.0.2.254 124472 Bytes 17.12.2013 15:35:36 AVREG.DLL : 14.0.2.212 250424 Bytes 17.12.2013 15:35:34 avlode.dll : 14.0.2.254 540216 Bytes 17.12.2013 15:35:34 avlode.rdf : 13.0.1.66 56973 Bytes 15.01.2014 12:33:53 VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 18:25:41 VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 18:25:41 VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 18:25:41 VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 18:25:41 VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 18:25:41 VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 18:25:41 VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 18:25:41 VBASE007.VDF : 7.11.116.38 5485568 Bytes 28.11.2013 18:21:54 VBASE008.VDF : 7.11.120.140 1154560 Bytes 19.12.2013 18:41:13 VBASE009.VDF : 7.11.120.141 2048 Bytes 19.12.2013 18:41:13 VBASE010.VDF : 7.11.120.142 2048 Bytes 19.12.2013 18:41:13 VBASE011.VDF : 7.11.120.143 2048 Bytes 19.12.2013 18:41:13 VBASE012.VDF : 7.11.120.144 2048 Bytes 19.12.2013 18:41:14 VBASE013.VDF : 7.11.120.145 2048 Bytes 19.12.2013 18:41:14 VBASE014.VDF : 7.11.121.19 126976 Bytes 21.12.2013 15:56:43 VBASE015.VDF : 7.11.121.147 122880 Bytes 24.12.2013 18:36:24 VBASE016.VDF : 7.11.121.233 115712 Bytes 25.12.2013 18:36:24 VBASE017.VDF : 7.11.122.57 325120 Bytes 27.12.2013 11:34:31 VBASE018.VDF : 7.11.122.123 199680 Bytes 28.12.2013 14:10:51 VBASE019.VDF : 7.11.122.219 368640 Bytes 01.01.2014 19:37:21 VBASE020.VDF : 7.11.123.39 182272 Bytes 03.01.2014 14:17:30 VBASE021.VDF : 7.11.123.141 124416 Bytes 05.01.2014 16:56:27 VBASE022.VDF : 7.11.124.11 172032 Bytes 08.01.2014 17:18:57 VBASE023.VDF : 7.11.124.79 144896 Bytes 09.01.2014 14:42:49 VBASE024.VDF : 7.11.124.177 178176 Bytes 11.01.2014 14:07:02 VBASE025.VDF : 7.11.125.41 319488 Bytes 14.01.2014 12:33:53 VBASE026.VDF : 7.11.125.42 2048 Bytes 14.01.2014 12:33:53 VBASE027.VDF : 7.11.125.43 2048 Bytes 14.01.2014 12:33:53 VBASE028.VDF : 7.11.125.44 2048 Bytes 14.01.2014 12:33:53 VBASE029.VDF : 7.11.125.45 2048 Bytes 14.01.2014 12:33:53 VBASE030.VDF : 7.11.125.46 2048 Bytes 14.01.2014 12:33:53 VBASE031.VDF : 7.11.125.146 318464 Bytes 17.01.2014 14:23:31 Engineversion : 8.2.12.174 AEVDF.DLL : 8.1.3.4 102774 Bytes 31.10.2013 18:25:18 AESCRIPT.DLL : 8.1.4.180 520574 Bytes 16.01.2014 18:00:20 AESCN.DLL : 8.1.10.6 131447 Bytes 11.12.2013 16:28:34 AESBX.DLL : 8.2.20.6 1331575 Bytes 13.01.2014 18:48:52 AERDL.DLL : 8.2.0.138 704888 Bytes 02.12.2013 18:00:16 AEPACK.DLL : 8.3.3.8 762232 Bytes 19.12.2013 18:41:20 AEOFFICE.DLL : 8.1.2.76 205181 Bytes 31.10.2013 18:25:18 AEHEUR.DLL : 8.1.4.870 6459770 Bytes 16.01.2014 18:00:19 AEHELP.DLL : 8.1.27.10 266618 Bytes 22.11.2013 12:42:32 AEGEN.DLL : 8.1.7.22 446839 Bytes 15.01.2014 18:00:19 AEEXP.DLL : 8.4.1.164 409976 Bytes 09.01.2014 14:42:57 AEEMU.DLL : 8.1.3.2 393587 Bytes 31.10.2013 18:25:18 AECORE.DLL : 8.1.33.0 225657 Bytes 11.12.2013 16:28:34 AEBB.DLL : 8.1.1.4 53619 Bytes 31.10.2013 18:25:18 AVWINLL.DLL : 14.0.2.180 23608 Bytes 17.12.2013 15:35:30 AVPREF.DLL : 14.0.2.180 48696 Bytes 17.12.2013 15:35:34 AVREP.DLL : 14.0.2.180 175672 Bytes 17.12.2013 15:35:35 AVARKT.DLL : 14.0.2.254 256056 Bytes 17.12.2013 15:35:31 AVEVTLOG.DLL : 14.0.2.180 165944 Bytes 17.12.2013 15:35:32 SQLITE3.DLL : 3.7.0.1 394808 Bytes 31.10.2013 18:25:40 AVSMTP.DLL : 14.0.2.180 60472 Bytes 17.12.2013 15:35:38 NETNT.DLL : 14.0.2.180 13368 Bytes 17.12.2013 15:35:54 RCIMAGE.DLL : 14.0.2.180 4786744 Bytes 17.12.2013 15:35:30 RCTEXT.DLL : 14.0.2.270 73272 Bytes 17.12.2013 15:35:30 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_52d93bdd\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: Interaktiv Sekundäre Aktion......................: Quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Prüfe alle Dateien....................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: Vollständig Beginn des Suchlaufs: Freitag, 17. Januar 2014 15:25 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '123' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '191' Modul(e) wurden durchsucht Durchsuche Prozess 'STacSV64.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'Hpservice.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'vcsFPService.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'DpHostW.exe' - '91' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'AESTSr64.exe' - '8' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '108' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '198' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'sttray64.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'ISUSPM.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'wscript.exe' - '95' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlug_11_4_76_983.exe' - '82' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe> [FUND] Ist das Trojanische Pferd TR/Kazy.307548.1 [WARNUNG] Die Datei wurde ignoriert. Durchsuche Prozess 'avgnt.exe' - '101' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '172' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerMsj.exe' - '82' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe> [FUND] Ist das Trojanische Pferd TR/Kazy.307548.1 [WARNUNG] Die Datei wurde ignoriert. Durchsuche Prozess 'avwebg7.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '127' Modul(e) wurden durchsucht Durchsuche Prozess 'RunDll32.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'BtStackServer.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '123' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '78' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_9_900_170.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_9_900_170.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'sppsvc.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'TrustedInstaller.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'WScript.exe' - '95' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'WMIADAP.EXE' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '28' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe [FUND] Ist das Trojanische Pferd TR/Kazy.307548.1 [WARNUNG] Die Datei wurde ignoriert. C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe [FUND] Ist das Trojanische Pferd TR/Kazy.307548.1 [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Freitag, 17. Januar 2014 15:27 Benötigte Zeit: 02:08 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 4453 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 4449 Dateien ohne Befall 32 Archive wurden durchsucht 4 Warnungen 0 Hinweise FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 17-01-2014 03 Ran by Michi (administrator) on MICHI-PC on 18-01-2014 14:32:28 Running from C:\Users\Michi\Downloads Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard Internet Explorer Version 11 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (AMD) C:\Windows\System32\atiesrxx.exe (IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe (Hewlett-Packard Company) C:\Windows\System32\hpservice.exe (Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe (AMD) C:\Windows\System32\atieclxx.exe (Microsoft Corporation) C:\Windows\System32\wlanext.exe (DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe (Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe (Microsoft Corporation) C:\Windows\System32\wscript.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe () C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe (Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_170.exe (Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_170.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avcenter.exe (Microsoft Corporation) \\?\C:\Windows\system32\wbem\WMIADAP.EXE ==================== Registry (Whitelisted) ================== HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated) HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.) HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG) HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.) HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation) HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe [373760 2014-01-16] () HKCU\...\Run: [SysBackUp] - C:\Users\Michi\AppData\Roaming\SysBackUp.vbs [234620 2013-12-02] () Lsa: [Notification Packages] DPPassFilter scecli Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs () ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 FireFox: ======== FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default FF Homepage: https://www.facebook.com/ FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll () FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN) FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll () FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10] FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17] FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ [] Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION ==================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG) ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG) R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG) R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd) U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2014-01-18 14:33 - 2014-01-18 14:33 - 01069512 _____ (Solid State Networks) C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe 2014-01-16 21:54 - 2013-12-02 14:08 - 00234620 ___SH C:\Users\Michi\AppData\Roaming\SysBackUp.vbs 2014-01-16 14:28 - 2014-01-18 14:33 - 00009764 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-15 18:40 - 2013-11-27 02:41 - 00343040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00325120 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00099840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00007808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys 2014-01-15 18:40 - 2013-11-26 12:40 - 00376768 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys 2014-01-15 18:40 - 2013-11-26 11:32 - 03156480 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys 2014-01-15 14:51 - 2014-01-18 14:32 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion 2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT 2014-01-15 14:19 - 2014-01-15 14:21 - 00000000 ____D C:\AdwCleaner 2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt 2014-01-14 15:27 - 2014-01-17 15:18 - 00001378 _____ C:\Windows\PFRO.log 2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip 2014-01-14 14:46 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe 2014-01-14 14:46 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe 2014-01-14 14:46 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe 2014-01-14 14:45 - 2014-01-14 15:13 - 00000000 ____D C:\Qoobox 2014-01-14 14:45 - 2014-01-14 15:09 - 00000000 ____D C:\Windows\erdnt 2014-01-14 13:32 - 2014-01-18 14:32 - 00000000 ____D C:\FRST 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:31 - 2014-01-18 14:32 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-11 09:02 - 2014-01-16 21:54 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install 2014-01-11 09:01 - 2014-01-18 14:28 - 00001064 _____ C:\Windows\setupact.log 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 14:58 - 2014-01-17 22:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Origin 2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url 2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll 2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll 2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox ==================== One Month Modified Files and Folders ======= 2014-01-18 14:33 - 2014-01-18 14:33 - 01069512 _____ (Solid State Networks) C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe 2014-01-18 14:33 - 2014-01-16 14:28 - 00009764 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-18 14:33 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype 2014-01-18 14:32 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion 2014-01-18 14:32 - 2014-01-14 13:32 - 00000000 ____D C:\FRST 2014-01-18 14:32 - 2014-01-14 13:31 - 02076160 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-18 14:28 - 2014-01-11 09:01 - 00001064 _____ C:\Windows\setupact.log 2014-01-18 14:28 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2014-01-17 22:44 - 2013-11-17 17:57 - 01448620 _____ C:\Windows\WindowsUpdate.log 2014-01-17 22:43 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files 2014-01-17 22:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-17 22:23 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files 2014-01-17 15:26 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat 2014-01-17 15:26 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat 2014-01-17 15:26 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI 2014-01-17 15:26 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2014-01-17 15:26 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2014-01-17 15:23 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2014-01-17 15:18 - 2014-01-14 15:27 - 00001378 _____ C:\Windows\PFRO.log 2014-01-16 21:54 - 2014-01-11 09:02 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install 2014-01-16 13:19 - 2009-07-14 05:45 - 00294752 _____ C:\Windows\system32\FNTCACHE.DAT 2014-01-16 13:15 - 2013-12-01 17:53 - 00000000 ____D C:\Windows\system32\MRT 2014-01-16 13:13 - 2013-12-01 17:53 - 86054176 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe 2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT 2014-01-15 14:21 - 2014-01-15 14:19 - 00000000 ____D C:\AdwCleaner 2014-01-15 13:47 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam 2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin 2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt 2014-01-14 15:27 - 2013-11-17 18:37 - 00000000 ____D C:\Program Files\WinRAR 2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip 2014-01-14 15:13 - 2014-01-14 14:45 - 00000000 ____D C:\Qoobox 2014-01-14 15:13 - 2009-07-14 04:20 - 00000000 __RHD C:\Users\Default 2014-01-14 15:09 - 2014-01-14 14:45 - 00000000 ____D C:\Windows\erdnt 2014-01-14 14:59 - 2009-07-14 03:34 - 00000215 _____ C:\Windows\system.ini 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi 2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF 2014-01-12 18:23 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia 2014-01-10 14:58 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-10 14:58 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-10 14:58 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe 2014-01-10 14:58 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe 2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin 2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc 2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3 2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url 2013-12-20 22:05 - 2013-11-17 18:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2013-12-20 09:28 - 2013-12-20 09:28 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2013-12-20 08:42 - 2013-11-17 18:26 - 00000000 ____D C:\Users\Michi\AppData\Local\Mozilla 2013-12-19 17:39 - 2013-11-17 19:03 - 00000000 ____D C:\Users\Michi\workspace 2013-12-19 14:11 - 2013-11-17 21:25 - 00000000 ____D C:\Users\Michi\Exes Some content of TEMP: ==================== C:\Users\Michi\AppData\Local\Temp\avgnt.exe C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe C:\Users\Michi\AppData\Local\Temp\Quarantine.exe ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2013-12-31 19:57 ==================== End Of Log ============================ |
19.01.2014, 09:57 | #12 |
/// the machine /// TB-Ausbilder | Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe [373760 2014-01-16] () HKCU\...\Run: [SysBackUp] - C:\Users\Michi\AppData\Roaming\SysBackUp.vbs [234620 2013-12-02] () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs () 2014-01-18 14:33 - 2014-01-18 14:33 - 01069512 _____ (Solid State Networks) C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe 2014-01-16 21:54 - 2013-12-02 14:08 - 00234620 ___SH C:\Users\Michi\AppData\Roaming\SysBackUp.vbs 2014-01-11 09:02 - 2014-01-16 21:54 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install C:\Users\Michi\AppData\Roaming\SysBackUp.vbs Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
19.01.2014, 13:12 | #13 |
| Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Und einmal das Fixlog: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-01-2014 Ran by Michi at 2014-01-19 13:10:58 Run:3 Running from C:\Users\Michi\Downloads Boot Mode: Normal ============================================== Content of fixlist: ***************** HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe [373760 2014-01-16] () HKCU\...\Run: [SysBackUp] - C:\Users\Michi\AppData\Roaming\SysBackUp.vbs [234620 2013-12-02] () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe () Startup: C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs () 2014-01-18 14:33 - 2014-01-18 14:33 - 01069512 _____ (Solid State Networks) C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe 2014-01-16 21:54 - 2013-12-02 14:08 - 00234620 ___SH C:\Users\Michi\AppData\Roaming\SysBackUp.vbs 2014-01-11 09:02 - 2014-01-16 21:54 - 00000000 ____D C:\Users\Michi\AppData\Roaming\FlashPlayer Install C:\Users\Michi\AppData\Roaming\SysBackUp.vbs ***************** HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\FlashPlayerPlug_11_4_76_983 => Value deleted successfully. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\SysBackUp => Value deleted successfully. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe not found. C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SysBackUp.vbs not found. "C:\Users\Michi\Downloads\install_flashplayer12x32au_mssd_aaa_aih.exe" => File/Directory not found. "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" => File/Directory not found. "C:\Users\Michi\AppData\Roaming\FlashPlayer Install" => File/Directory not found. "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" => File/Directory not found. ==== End of Fixlog ==== |
20.01.2014, 11:07 | #14 |
/// the machine /// TB-Ausbilder | Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe frisches FRST log bitte.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
20.01.2014, 14:11 | #15 |
| Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe Bitteschön: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-01-2014 Ran by Michi (administrator) on MICHI-PC on 20-01-2014 14:10:19 Running from C:\Users\Michi\Downloads Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard Internet Explorer Version 11 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (AMD) C:\Windows\System32\atiesrxx.exe (IDT, Inc.) C:\Program Files\IDT\WDM\stacsv64.exe (AMD) C:\Windows\System32\atieclxx.exe (Hewlett-Packard Company) C:\Windows\System32\hpservice.exe (Validity Sensors, Inc.) C:\Windows\System32\vcsFPService.exe (Microsoft Corporation) C:\Windows\System32\wlanext.exe (DigitalPersona, Inc.) C:\Program Files\DigitalPersona\Bin\DpHostW.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Andrea Electronics Corporation) C:\Program Files\IDT\WDM\AESTSr64.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (IDT, Inc.) C:\Program Files\IDT\WDM\sttray64.exe (Acresso Corporation) C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (Broadcom Corporation.) C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe (ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_43.exe (Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_43.exe () C:\Riot Games\League of Legends\RADS\system\rads_user_kernel.exe () C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe () C:\Riot Games\League of Legends\RADS\projects\lol_launcher\releases\0.0.0.198\deploy\LoLLauncher.exe () C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.1.68\deploy\LolClient.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2281256 2010-09-13] (Synaptics Incorporated) HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-07-22] (IDT, Inc.) HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-17] (Avira Operations GmbH & Co. KG) HKLM-x32\...\Run: [UCam_Menu] - C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2008-11-14] (CyberLink Corp.) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [StartCCC] - C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-04-16] (Advanced Micro Devices, Inc.) HKCU\...\Run: [ISUSPM] - C:\ProgramData\Macrovision\FLEXnet Connect\6\ISUSPM.exe [210208 2008-10-20] (Acresso Corporation) HKCU\...\Run: [FlashPlayerPlug_11_4_76_983] - C:\Users\Michi\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe HKCU\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Michi\AppData\Roaming\SysBackUp.vbs" Lsa: [Notification Packages] DPPassFilter scecli ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.179.1 FireFox: ======== FF ProfilePath: C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default FF Homepage: https://www.facebook.com/ FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_12_0_0_43.dll () FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @videolan.org/vlc,version=2.1.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN) FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_12_0_0_43.dll () FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3508.0205 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml FF Extension: DownloadHelper - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013-12-10] FF Extension: Adblock Plus - C:\Users\Michi\AppData\Roaming\Mozilla\Firefox\Profiles\05tgzta3.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-11-17] FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ [] Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION ==================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-17] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-10-31] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-17] (Avira Operations GmbH & Co. KG) ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-17] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-31] (Avira Operations GmbH & Co. KG) R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-17] (Avira Operations GmbH & Co. KG) R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-11-17] (Disc Soft Ltd) U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2014-01-16 14:28 - 2014-01-20 14:10 - 00009511 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-15 18:40 - 2013-11-27 02:41 - 00343040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00325120 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00099840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys 2014-01-15 18:40 - 2013-11-27 02:41 - 00007808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys 2014-01-15 18:40 - 2013-11-26 12:40 - 00376768 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys 2014-01-15 18:40 - 2013-11-26 11:32 - 03156480 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys 2014-01-15 14:51 - 2014-01-19 13:09 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion 2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT 2014-01-15 14:19 - 2014-01-15 14:21 - 00000000 ____D C:\AdwCleaner 2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt 2014-01-14 15:27 - 2014-01-17 15:18 - 00001378 _____ C:\Windows\PFRO.log 2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip 2014-01-14 14:46 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe 2014-01-14 14:46 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe 2014-01-14 14:46 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe 2014-01-14 14:46 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe 2014-01-14 14:45 - 2014-01-14 15:13 - 00000000 ____D C:\Qoobox 2014-01-14 14:45 - 2014-01-14 15:09 - 00000000 ____D C:\Windows\erdnt 2014-01-14 13:32 - 2014-01-19 13:09 - 00000000 ____D C:\FRST 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:31 - 2014-01-19 13:09 - 02076672 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-11 09:01 - 2014-01-20 14:06 - 00001232 _____ C:\Windows\setupact.log 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 14:58 - 2014-01-19 21:26 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-10 14:58 - 2014-01-18 14:35 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-10 14:58 - 2014-01-18 14:35 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-10 14:58 - 2014-01-18 14:35 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-09 15:47 - 2014-01-09 15:48 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:46 - 2014-01-10 14:52 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-09 15:46 - 2014-01-09 15:47 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Origin 2014-01-09 15:44 - 2014-01-15 13:30 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-09 15:44 - 2014-01-10 14:52 - 00000000 ____D C:\Program Files (x86)\Origin 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url 2013-12-21 00:13 - 2010-06-02 04:55 - 00239960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll 2013-12-21 00:13 - 2010-06-02 04:55 - 00176984 _____ (Microsoft Corporation) C:\Windows\system32\xactengine3_7.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 02401112 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01907552 _____ (Microsoft Corporation) C:\Windows\system32\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 01868128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00511328 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll 2013-12-21 00:13 - 2010-05-26 11:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll ==================== One Month Modified Files and Folders ======= 2014-01-20 14:11 - 2014-01-16 14:28 - 00009511 _____ C:\Users\Michi\Downloads\FRST.txt 2014-01-20 14:11 - 2013-11-25 19:22 - 00000000 ____D C:\Users\Michi\AppData\Local\PMB Files 2014-01-20 14:07 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2014-01-20 14:06 - 2014-01-11 09:01 - 00001232 _____ C:\Windows\setupact.log 2014-01-19 22:25 - 2013-11-25 19:22 - 00000000 ____D C:\ProgramData\PMB Files 2014-01-19 22:25 - 2013-11-17 18:34 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Skype 2014-01-19 22:25 - 2013-11-17 17:57 - 01473381 _____ C:\Windows\WindowsUpdate.log 2014-01-19 21:26 - 2014-01-10 14:58 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-19 17:43 - 2013-11-17 21:56 - 00000000 ____D C:\Users\Michi\AppData\Roaming\AIMP3 2014-01-19 13:14 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2014-01-19 13:14 - 2009-07-14 05:45 - 00015600 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2014-01-19 13:13 - 2009-07-14 18:58 - 00698926 _____ C:\Windows\system32\perfh007.dat 2014-01-19 13:13 - 2009-07-14 18:58 - 00149034 _____ C:\Windows\system32\perfc007.dat 2014-01-19 13:13 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI 2014-01-19 13:10 - 2013-11-17 17:57 - 00000000 ___RD C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2014-01-19 13:09 - 2014-01-15 14:51 - 00000000 ____D C:\Users\Michi\Downloads\FRST-OlderVersion 2014-01-19 13:09 - 2014-01-14 13:32 - 00000000 ____D C:\FRST 2014-01-19 13:09 - 2014-01-14 13:31 - 02076672 _____ (Farbar) C:\Users\Michi\Downloads\FRST64.exe 2014-01-19 13:07 - 2013-11-17 19:19 - 00000000 ____D C:\Users\Michi\Games 2014-01-19 13:06 - 2009-07-14 06:08 - 00032632 _____ C:\Windows\Tasks\SCHEDLGU.TXT 2014-01-18 14:40 - 2013-11-17 19:23 - 00000000 ____D C:\Users\Michi\AppData\Local\Adobe 2014-01-18 14:35 - 2014-01-10 14:58 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe 2014-01-18 14:35 - 2014-01-10 14:58 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl 2014-01-18 14:35 - 2014-01-10 14:58 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater 2014-01-17 15:18 - 2014-01-14 15:27 - 00001378 _____ C:\Windows\PFRO.log 2014-01-16 13:19 - 2009-07-14 05:45 - 00294752 _____ C:\Windows\system32\FNTCACHE.DAT 2014-01-16 13:15 - 2013-12-01 17:53 - 00000000 ____D C:\Windows\system32\MRT 2014-01-16 13:13 - 2013-12-01 17:53 - 86054176 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe 2014-01-15 14:25 - 2014-01-15 14:25 - 00000000 ____D C:\Windows\ERUNT 2014-01-15 14:21 - 2014-01-15 14:19 - 00000000 ____D C:\AdwCleaner 2014-01-15 13:47 - 2013-11-17 18:38 - 00000000 ____D C:\Program Files (x86)\Steam 2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Origin 2014-01-15 13:30 - 2014-01-09 15:44 - 00000000 ____D C:\ProgramData\Electronic Arts 2014-01-14 18:04 - 2014-01-14 18:04 - 00014496 _____ C:\Users\Michi\Desktop\Kombislol.odt 2014-01-14 15:27 - 2013-11-17 18:37 - 00000000 ____D C:\Program Files\WinRAR 2014-01-14 15:17 - 2014-01-14 15:17 - 00000000 ____D C:\Program Files (x86)\7-Zip 2014-01-14 15:13 - 2014-01-14 14:45 - 00000000 ____D C:\Qoobox 2014-01-14 15:13 - 2009-07-14 04:20 - 00000000 __RHD C:\Users\Default 2014-01-14 15:09 - 2014-01-14 14:45 - 00000000 ____D C:\Windows\erdnt 2014-01-14 14:59 - 2009-07-14 03:34 - 00000215 _____ C:\Windows\system.ini 2014-01-14 13:32 - 2014-01-14 13:32 - 00000000 _____ C:\Users\Michi\defogger_reenable 2014-01-14 13:32 - 2013-11-17 17:57 - 00000000 ____D C:\Users\Michi 2014-01-13 15:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF 2014-01-11 09:01 - 2014-01-11 09:01 - 00000000 _____ C:\Windows\setuperr.log 2014-01-10 18:45 - 2014-01-10 18:45 - 00001311 _____ C:\Users\Public\Desktop\Kingdoms of Amalur Reckoning.lnk 2014-01-10 18:44 - 2014-01-10 18:44 - 00017513 _____ C:\Windows\DirectX.log 2014-01-10 15:11 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Local\Macromedia 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Macromedia 2014-01-10 14:58 - 2013-11-17 19:29 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Adobe 2014-01-10 14:52 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Origin 2014-01-10 14:52 - 2014-01-09 15:44 - 00000000 ____D C:\Program Files (x86)\Origin 2014-01-09 15:48 - 2014-01-09 15:47 - 00000000 ____D C:\Program Files (x86)\Origin Games 2014-01-09 15:47 - 2014-01-09 15:46 - 00000000 ____D C:\Users\Michi\AppData\Local\Origin 2014-01-07 12:48 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Michi\AppData\Roaming\vlc 2014-01-06 18:31 - 2013-11-17 21:56 - 00000000 ____D C:\Program Files (x86)\AIMP3 2014-01-01 00:34 - 2013-11-17 18:20 - 00000000 ____D C:\Users\Michi\AppData\Roaming\Avira 2013-12-29 11:11 - 2013-12-29 11:11 - 00000000 ____D C:\Users\Michi\AppData\Roaming\com.shirogames.evoland 2013-12-28 20:11 - 2013-12-28 20:11 - 00000189 _____ C:\Users\Michi\Desktop\Evoland.url 2013-12-21 23:19 - 2013-12-21 23:19 - 00000222 _____ C:\Users\Michi\Desktop\The Binding of Isaac.url 2013-12-21 21:26 - 2013-12-21 21:26 - 00000221 _____ C:\Users\Michi\Desktop\Sonic Generations.url Some content of TEMP: ==================== C:\Users\Michi\AppData\Local\Temp\avgnt.exe C:\Users\Michi\AppData\Local\Temp\FlashPlayerMsj.exe C:\Users\Michi\AppData\Local\Temp\Quarantine.exe ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2013-12-31 19:57 ==================== End Of Log ============================ |
Themen zu Win7: TR/Kryptik.667648.52 in C:.(..)AppData\Local\Temp\FlashPlayerMsj.exe |
adblock, adobe, antivirus, avira, branding, cpu-z, defender, desktop, device driver, dllhost.exe, flash player, google, homepage, mozilla, msil/chadowtek.c, registry, rundll, security, services.exe, svchost.exe, system, taskhost.exe, tr/kryptik.667648.52, trojan.msil, trojaner, vbs/agent.net, vbs/trojandownloader.small.nbk, vista, wsearch |