Windows XP: Befall mit mehreren Schädlingen - Neu aufsetzten oder reparieren?

Scalary · 14.01.2014, 20:40

Hallo zusammen,

nachdem der Laptop meiner Lebensgefährtin irgendwie auffällig war habe ich noch vor Weihnachten ein Scan mit MBAM durchgeführt. Dabei sind mehrere Funde aufgetaucht (Log-Datein siehe unten).

Da ich recht viel um die Ohren hatte komme ich erst heute dazu mich Hilfe suchend an euch zu wenden :-)

Ich bin die Anleitung durchgegangen, die Logs sind ebenfalls unten aufgeführt.

Meine Frage: Ist es notwendig das System neu aufzusetzen, oder kann man die Funde auch auf andere Weise entfernen?

Freue mich auf eure Hilfe, besten Gruß, Scalary alias Jens.

Code:

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.12.12.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Svenja :: NETBOOK_SVENJA [Administrator]

12.12.2013 22:26:22
mbam-log-2013-12-12 (22-26-22).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 199297
Laufzeit: 16 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Programme\Wajam\Updater\WajamUpdater.exe (PUP.Optional.Wajam.A) -> 1784 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 18
HKLM\SYSTEM\CurrentControlSet\Services\WajamUpdater (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} (PUP.Optional.Wajam) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} (PUP.Optional.Wajam) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D} (PUP.Optional.Wajam) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\wajam.WajamBHO.1 (PUP.Optional.Wajam) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\wajam.WajamBHO (PUP.Optional.Wajam) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634} (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5} (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\wajam.WajamDownloader.1 (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\wajam.WajamDownloader (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\AppID\priam_bho.DLL (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\PriceGong (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\WAJAM (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\WAJAM (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\Software\Wajam|affiliate_id (PUP.Optional.Wajam.A) -> Daten: 6800 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Wajam|red (PUP.Optional.Wajam.A) -> Daten: 4 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 9
C:\Programme\Wajam (PUP.Optional.Wajam.A) -> Löschen bei Neustart.
C:\Programme\Wajam\Firefox (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Wajam\IE (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Wajam\Updater (PUP.Optional.Wajam.A) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Startmenü\Programme\Wajam (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 70
C:\Programme\Wajam\Updater\WajamUpdater.exe (PUP.Optional.Wajam.A) -> Löschen bei Neustart.
C:\Programme\Wajam\IE\priam_bho.dll (PUP.Optional.Wajam) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Eigene Dateien\Downloads\SoftonicDownloader_fuer_freemind.exe (PUP.Optional.Softonic) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\wajam_install.exe (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Wajam\uninstall.exe (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Wajam\Firefox\firefox_trigger_extension.htm (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Wajam\Firefox\{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}.xpi (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Wajam\IE\0 (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Wajam\IE\favicon.ico (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Wajam\IE\wajamLogo.bmp (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Wajam\Updater\update.exe (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\1.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\a.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\b.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\c.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\d.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\e.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\f.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\g.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\h.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\i.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\j.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\k.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\l.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\m.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\n.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\o.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\p.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\q.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\r.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\s.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\t.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\u.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\v.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\w.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\wlu.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\x.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\y.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PriceGong\Data\z.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\1.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\3023.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\a.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\b.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\c.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\d.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\e.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\f.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\g.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\h.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\i.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\j.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\k.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\l.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\m.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\mru.xml (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\n.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\o.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\p.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\q.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\r.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\s.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\t.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\u.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\v.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\w.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\wlu.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\x.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\y.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\PriceGong\Data\z.txt (PUP.Optional.PriceGong.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Svenja\Startmenü\Programme\Wajam\uninstall.lnk (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:51 on 14/01/2014 (Svenja)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 14-01-2014 01
Ran by Svenja (administrator) on NETBOOK_SVENJA on 14-01-2014 20:21:12
Running from C:\Dokumente und Einstellungen\Svenja\Desktop
Microsoft Windows XP Home Edition Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe
(DeviceVM) C:\QSTART.SYS\config\DVMExportService.exe
(Oracle Corporation) C:\Programme\Java\jre7\bin\jqs.exe
(Microsoft Corp.) C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
(Lenovo Group Limited) C:\Program Files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe
(Broadcom Corporation.) C:\Programme\Lenovo\Bluetooth Software\bin\btwdins.exe
(Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.EXE
(Synaptics Incorporated) C:\Programme\Synaptics\SynTP\SynTPEnh.exe
(Intel Corporation) C:\WINDOWS\system32\igfxtray.exe
(Intel Corporation) C:\WINDOWS\system32\hkcmd.exe
(Intel Corporation) C:\WINDOWS\system32\igfxpers.exe
() C:\WINDOWS\BisonC07\BisonM07.exe
() C:\Programme\Lenovo\VeriFaceIII\PManage.exe
(Lenovo(Beijing)Limited) C:\Program Files\Lenovo\Energy Management\utility.exe
(Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe
(Lenovo (Beijing) Limited) C:\Program Files\Lenovo\Energy Management\Energy Management.exe
(Ask) C:\Programme\Ask.com\Updater\Updater.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe
(Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
(AStA Paderborn) C:\Programme\AStA Paderborn\AStA Copyclient\asta-copyclient-helper.exe
(Broadcom Corporation.) C:\Programme\Lenovo\Bluetooth Software\BTTray.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RTHDCPL] - C:\Windows\RTHDCPL.EXE [17567744 2009-03-24] (Realtek Semiconductor Corp.)
HKLM\...\Run: [SynTPEnh] - C:\Programme\Synaptics\SynTP\SynTPEnh.exe [1512744 2009-04-09] (Synaptics Incorporated)
HKLM\...\Run: [BisonMnt] - C:\WINDOWS\BisonC07\BisonM07.exe [32768 2008-10-14] ()
HKLM\...\Run: [VeriFaceManager] - C:\Programme\Lenovo\VeriFaceIII\PManage.exe [323584 2009-08-17] ()
HKLM\...\Run: [EnergyUtility] - C:\Program Files\Lenovo\Energy Management\utility.exe [4462464 2009-01-04] (Lenovo(Beijing)Limited)
HKLM\...\Run: [Energy Management] - C:\Program Files\Lenovo\Energy Management\Energy Management.exe [1277952 2008-12-26] (Lenovo (Beijing) Limited)
HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [] - [x]
HKLM\...\Run: [ApnUpdater] - C:\Programme\Ask.com\Updater\Updater.exe [1564872 2012-06-06] (Ask)
HKLM\...\Run: [avgnt] - C:\Programme\Avira\AntiVir Desktop\avgnt.exe [683576 2013-11-27] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
Winlogon\Notify\PicNotify: C:\Windows\system32\PicNotify.dll ()
HKCU\...\Run: [Skype] - C:\Programme\Skype\Phone\Skype.exe [20584608 2013-11-14] (Skype Technologies S.A.)
MountPoints2: {833f6520-48ea-11dd-a2d1-806d6172696f} - E:\setup.exe
MountPoints2: {f2567df2-3e98-11e1-920b-00262207e6b9} - E:\LaunchU3.exe -a
HKU\Administrator\...\Run: [MSMSGS] - "C:\Programme\Messenger\msmsgs.exe" /background
HKU\Default User\...\Run: [MSMSGS] - "C:\Programme\Messenger\msmsgs.exe" /background
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AStA Copyclient.lnk
ShortcutTarget: AStA Copyclient.lnk -> C:\Programme\AStA Paderborn\AStA Copyclient\asta-copyclient-helper.exe (AStA Paderborn)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
ShortcutTarget: BTTray.lnk -> C:\Programme\Lenovo\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
Startup: C:\Dokumente und Einstellungen\Svenja\Startmenü\Programme\Autostart\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Dokumente und Einstellungen\Svenja\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk
ShortcutTarget: OpenOffice.org 3.2.lnk -> C:\Programme\OpenOffice.org 3\program\quickstart.exe ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.msn.com/?pc=UP97&ocid=UP97DHP&dt=071213
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.lenovo.com/
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.lenovo.com/
URLSearchHook: HKCU - ST-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
SearchScopes: HKCU - 34EA513FA4934B57960F6373068A3C0A URL = hxxp://search.softonic.com/MOY00009/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=937
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = 
SearchScopes: HKCU - {501F2F9F-A3E7-408B-81BB-8307226BB755} URL = hxxp://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000
SearchScopes: HKCU - {5550336D-473B-4A00-83EA-C3399F339BE4} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2431245
BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll (Microsoft Corp.)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
BHO: Skype Browser Helper - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
BHO: ST-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
BHO: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
BHO: Softonic Helper Object - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Programme\Softonic\Softonic\1.8.8.11\bh\Softonic.dll (Softonic.com)
Toolbar: HKLM - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
Toolbar: HKLM - ST-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
Toolbar: HKLM - &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
Toolbar: HKLM - Softonic Toolbar - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Programme\Softonic\Softonic\1.8.8.11\SoftonicTlbr.dll (Softonic.com)
Toolbar: HKCU - &Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
Toolbar: HKCU - &Links - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - C:\Windows\system32\SHELL32.dll (Microsoft Corporation)
Toolbar: HKCU - No Name - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -  No File
Toolbar: HKCU - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
Toolbar: HKCU - ST-de3 Toolbar - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.)
Toolbar: HKCU - &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Mozilla\Firefox\Profiles\eicwfnjq.Jens
FF user.js: detected! => C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Mozilla\Firefox\Profiles\eicwfnjq.Jens\user.js
FF Homepage: hxxp://search.softonic.com/MOY00009/tb_v1?SearchSource=13&cc=
FF SelectedSearchEngine: Search the web (Softonic)
FF SearchEngineOrder.1: Search the web (Softonic)
FF Keyword.URL: hxxp://search.softonic.com/MOY00009/tb_v1?SearchSource=2&cc=&q=
FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_9_900_170.dll ()
FF Plugin: @java.com/DTPlugin,version=10.17.2 - C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.17.2 - C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @microsoft.com/OfficeLive,version=1.3 - C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npFoxitReaderPlugin.dll (Foxit Software Company)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\NPOFF12.DLL (Microsoft Corporation)
FF SearchPlugin: C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Mozilla\Firefox\Profiles\eicwfnjq.Jens\searchplugins\softonic.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: Microsoft .NET Framework Assistant - C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Mozilla\Firefox\Profiles\eicwfnjq.Jens\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010-11-08]
FF Extension: Yahoo! Toolbar - C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Mozilla\Firefox\Profiles\eicwfnjq.Jens\Extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2011-02-04]
FF Extension: Web Developer - C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Mozilla\Firefox\Profiles\eicwfnjq.Jens\Extensions\{c45c406e-ab73-11d8-be73-000a95be3b12} [2010-11-08]
FF Extension: Adblock Plus - C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Mozilla\Firefox\Profiles\eicwfnjq.Jens\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010-11-08]
FF Extension: Tab Mix Plus - C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Mozilla\Firefox\Profiles\eicwfnjq.Jens\Extensions\{dc572301-7619-498c-a57d-39143191b318} [2010-11-08]
FF Extension: Skype Click to Call - C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [2013-11-19]
FF Extension: Java Console - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2013-11-19]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ []
FF HKLM\...\Firefox\Extensions: [{8AA36F4F-6DC7-4c06-77AF-5035170634FE}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Swiss Academic Software\Citavi Picker\Firefox
FF Extension: Citavi Picker - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Swiss Academic Software\Citavi Picker\Firefox [2012-05-26]

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [440376 2013-11-27] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [440376 2013-11-27] (Avira Operations GmbH & Co. KG)
S2 AstaCopyclientFirewallService; C:\Programme\AStA Paderborn\AStA Copyclient\AStACopyclientFirewallService.exe [18944 2012-09-25] ()
R2 btwdins; C:\Programme\Lenovo\Bluetooth Software\bin\btwdins.exe [346720 2009-01-16] (Broadcom Corporation.)
R2 DvmMDES; C:\QSTART.SYS\config\DVMExportService.exe [315392 2009-03-26] (DeviceVM)
R2 JavaQuickStarterService; C:\Programme\Java\jre7\bin\jqs.exe [170912 2013-03-12] (Oracle Corporation)
S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [119408 2013-11-19] (Mozilla Foundation)
S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [441712 2008-11-04] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation)
R2 SeaPort; C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [226656 2009-01-14] (Microsoft Corp.)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [171680 2013-09-05] (Skype Technologies)
S3 SQLWriter; c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe [87840 2006-04-14] (Microsoft Corporation)
R2 System_Repair_UpdateMonitor; C:\Program Files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe [430080 2008-09-27] (Lenovo Group Limited)

==================== Drivers (Whitelisted) ====================

S4 abp480n5; C:\Windows\system32\DRIVERS\ABP480N5.SYS [23552 2001-08-17] (Microsoft Corporation)
R3 ACPIVPC; C:\Windows\System32\DRIVERS\AcpiVpc.sys [9472 2008-01-11] (Lenovo Corporation)
S3 Ambfilt; C:\Windows\System32\drivers\Ambfilt.sys [1684736 2008-08-05] (Creative)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [90400 2013-12-03] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137208 2013-11-27] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-11-27] (Avira Operations GmbH & Co. KG)
R3 BCM43XX; C:\Windows\System32\DRIVERS\bcmwl5.sys [1386624 2008-09-10] (Broadcom Corporation)
S3 btaudio; C:\Windows\System32\drivers\btaudio.sys [534568 2008-05-30] (Broadcom Corporation.)
R3 BTDriver; C:\Windows\System32\DRIVERS\btport.sys [37160 2008-02-04] (Broadcom Corporation.)
R3 BTKRNL; C:\Windows\System32\DRIVERS\btkrnl.sys [991784 2009-01-07] (Broadcom Corporation.)
S3 BTWDNDIS; C:\Windows\System32\DRIVERS\btwdndis.sys [156816 2008-07-24] (Broadcom Corporation.)
S3 BTWUSB; C:\Windows\System32\Drivers\btwusb.sys [47272 2008-10-30] (Broadcom Corporation.)
R3 Cam5607; C:\Windows\System32\Drivers\BisonC07.sys [1226792 2009-04-17] (Bison Electronics. Inc. )
S3 CCDECODE; C:\Windows\System32\DRIVERS\CCDECODE.sys [17024 2008-04-13] (Microsoft Corporation)
S3 epmntdrv; C:\WINDOWS\system32\epmntdrv.sys [13192 2010-02-23] ()
S3 EuGdiDrv; C:\WINDOWS\system32\EuGdiDrv.sys [8456 2010-02-23] ()
S3 Monfilt; C:\Windows\System32\drivers\Monfilt.sys [1389056 2006-01-04] (Creative Technology Ltd.)
S3 NdisIP; C:\Windows\System32\DRIVERS\NdisIP.sys [10880 2008-04-13] (Microsoft Corporation)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-03-04] (Avira GmbH)
S3 WSVD; C:\WINDOWS\system32\drivers\WSVD.sys [81192 2008-01-10] (CyberLink)
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x]
U1 WS2IFSL; 
U3 kfloipob; \??\C:\DOKUME~1\Svenja\LOKALE~1\Temp\kfloipob.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-14 20:20 - 2014-01-14 20:20 - 00002109 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\gmer.log
2014-01-14 19:52 - 2014-01-14 20:21 - 00017813 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\FRST.txt
2014-01-14 19:51 - 2014-01-14 19:52 - 00000474 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\defogger_disable.log
2014-01-14 19:51 - 2014-01-14 19:51 - 00000000 _____ C:\Dokumente und Einstellungen\Svenja\defogger_reenable
2014-01-14 19:48 - 2014-01-14 19:48 - 01220096 _____ (Farbar) C:\Dokumente und Einstellungen\Svenja\Desktop\FRST.exe
2014-01-14 19:48 - 2014-01-14 19:48 - 00377856 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\jwev3zk3.exe
2014-01-14 19:45 - 2014-01-14 19:45 - 00050477 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\Defogger.exe

==================== One Month Modified Files and Folders =======

2014-01-14 20:21 - 2014-01-14 19:52 - 00017813 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\FRST.txt
2014-01-14 20:20 - 2014-01-14 20:20 - 00002109 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\gmer.log
2014-01-14 20:19 - 2009-08-17 20:10 - 00072148 _____ C:\HeadNotify.log
2014-01-14 20:18 - 2010-06-17 19:30 - 00000228 _____ C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
2014-01-14 19:57 - 2009-07-03 10:53 - 00000177 ____H C:\dvmexp.idx
2014-01-14 19:56 - 2010-06-17 22:30 - 00000000 ____D C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Skype
2014-01-14 19:52 - 2014-01-14 19:51 - 00000474 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\defogger_disable.log
2014-01-14 19:51 - 2014-01-14 19:51 - 00000000 _____ C:\Dokumente und Einstellungen\Svenja\defogger_reenable
2014-01-14 19:51 - 2010-06-17 09:09 - 00000000 ____D C:\Dokumente und Einstellungen\Svenja
2014-01-14 19:50 - 2013-12-12 22:08 - 00000000 ____D C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\TeraCopy
2014-01-14 19:50 - 2012-11-07 09:57 - 00085656 _____ C:\WINDOWS\setupapi.log
2014-01-14 19:48 - 2014-01-14 19:48 - 01220096 _____ (Farbar) C:\Dokumente und Einstellungen\Svenja\Desktop\FRST.exe
2014-01-14 19:48 - 2014-01-14 19:48 - 00377856 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\jwev3zk3.exe
2014-01-14 19:48 - 2012-01-11 19:39 - 00000000 ____D C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\Dropbox
2014-01-14 19:47 - 2009-07-03 10:17 - 00000056 ___SH C:\_PartitionInfo
2014-01-14 19:47 - 2008-07-03 10:36 - 00000159 _____ C:\WINDOWS\wiadebug.log
2014-01-14 19:47 - 2008-07-03 10:36 - 00000050 _____ C:\WINDOWS\wiaservc.log
2014-01-14 19:47 - 2008-07-03 09:45 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2014-01-14 19:45 - 2014-01-14 19:45 - 00050477 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\Defogger.exe
2014-01-14 19:41 - 2008-04-14 13:00 - 00001158 _____ C:\WINDOWS\system32\wpa.dbl
2014-01-02 10:48 - 2012-09-07 21:48 - 00354791 _____ C:\WINDOWS\WindowsUpdate.log
2014-01-02 10:48 - 2010-06-17 09:09 - 00000190 ___SH C:\Dokumente und Einstellungen\Svenja\ntuser.ini
2014-01-02 10:48 - 2008-07-03 09:45 - 00032502 _____ C:\WINDOWS\SchedLgU.Txt
2014-01-02 10:45 - 2010-06-17 09:09 - 00000000 ___HD C:\Dokumente und Einstellungen\Svenja\Netzwerkumgebung
2014-01-02 10:36 - 2010-06-17 20:33 - 00002503 _____ C:\Dokumente und Einstellungen\Svenja\Desktop\Microsoft Office Word 2007.lnk
2014-01-02 10:34 - 2012-05-23 08:12 - 00000884 _____ C:\WINDOWS\Tasks\Adobe Flash Player Updater.job

Some content of TEMP:
====================
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\CheckInst.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Install.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallCzech.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallDanish.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallDutch.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallEn.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallFinnish.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallFr.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallGe.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallGreek.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallHungarian.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallIta.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallJap.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallKo.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallNorwegian.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallPolish.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallPT-BR.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallPtg.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallRu.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallSpa.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallSwedish.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallTr.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\InstallTurkish.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\CheckInst.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\Install.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallCzech.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallDanish.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallDutch.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallEn.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallFinnish.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallFr.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallGe.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallGreek.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallHungarian.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallIta.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallJap.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallKo.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallNorwegian.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallPolish.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallPT-BR.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallPtg.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallRu.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallSpa.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallSwedish.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallTr.dll
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\InstallTurkish.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\ApnStub.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\AskSLib.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\CheckInst.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\FileSystemView.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\FoxitPDFCreator302_enu_Setup.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\FreeMind-Windows-Installer-0.8.1-max.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\GLF3D.tmp.ConduitEngineSetup.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\Install.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallCzech.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallDanish.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallDutch.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallEn.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallFinnish.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallFr.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallGe.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallGreek.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallHungarian.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallIta.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallJap.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallKo.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallNorwegian.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallPolish.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallPT-BR.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallPtg.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallRu.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallSpa.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallSwedish.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallTr.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\InstallTurkish.dll
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-6u23-windows-i586-iftw-rv.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-6u24-windows-i586-iftw-rv.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-6u26-windows-i586-iftw-rv.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-6u30-windows-i586-iftw-rv.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-6u31-windows-i586-iftw-rv.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-6u37-windows-i586-iftw.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-7u13-windows-i586-iftw.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-7u15-windows-i586-iftw.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-7u17-windows-i586-iftw.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\jre-7u40-windows-i586-iftw.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\setup.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\SkypeSetup.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\softonic-de3.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\Softonicde3.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\Softonic_chr_1-8-8-11.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\wajam_download.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\xmlUpdater.exe
C:\Dokumente und Einstellungen\Svenja\Lokale Einstellungen\Temp\ytb.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2008-04-14 13:00] - [2008-04-14 13:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 

C:\Windows\System32\winlogon.exe
[2008-04-14 13:00] - [2008-04-14 13:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 

C:\Windows\System32\svchost.exe
[2008-04-14 13:00] - [2008-04-14 13:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 

C:\Windows\System32\services.exe
[2008-04-14 13:00] - [2009-02-09 12:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 

C:\Windows\System32\User32.dll
[2008-04-14 13:00] - [2008-04-14 13:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 

C:\Windows\System32\userinit.exe
[2008-04-14 13:00] - [2008-04-14 13:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 

C:\Windows\System32\rpcss.dll
[2008-04-14 13:00] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) 3127afbf2c1ed0ab14a1bbb7aaecb85b 

 ATTENTION ======> If the system is having audio adware rpcss.dll is pathced. Google the MD5, if the MD5 is unique the file is infected.
C:\Windows\System32\Drivers\volsnap.sys
[2008-04-14 13:00] - [2008-04-14 13:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 


==================== End Of Log ============================

--- --- ---

Code:

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2014-01-14 20:20:07
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 ST916031 rev.LV5C 149,05GB
Running: jwev3zk3.exe; Driver: C:\DOKUME~1\Svenja\LOKALE~1\Temp\kfloipob.sys


---- System - GMER 2.1 ----

SSDT            9E16643C                                 ZwClose
SSDT            9E1663F6                                 ZwCreateKey
SSDT            9E166446                                 ZwCreateSection
SSDT            9E1663EC                                 ZwCreateThread
SSDT            9E1663FB                                 ZwDeleteKey
SSDT            9E166405                                 ZwDeleteValueKey
SSDT            9E166437                                 ZwDuplicateObject
SSDT            9E16640A                                 ZwLoadKey
SSDT            9E1663D8                                 ZwOpenProcess
SSDT            9E1663DD                                 ZwOpenThread
SSDT            9E16645F                                 ZwQueryValueKey
SSDT            9E166414                                 ZwReplaceKey
SSDT            9E166450                                 ZwRequestWaitReplyPort
SSDT            9E16640F                                 ZwRestoreKey
SSDT            9E16644B                                 ZwSetContextThread
SSDT            9E166455                                 ZwSetSecurityObject
SSDT            9E166400                                 ZwSetValueKey
SSDT            9E16645A                                 ZwSystemDebugControl
SSDT            9E1663E7                                 ZwTerminateProcess

---- Devices - GMER 2.1 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                   tvtumon.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  wdf01000.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  wdf01000.sys
AttachedDevice  \FileSystem\Fastfat \Fat                 fltMgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat                 tvtumon.sys

---- EOF - GMER 2.1 ----

Windows XP: Befall mit mehreren Schädlingen - Neu aufsetzten oder reparieren?

Log-Analyse und Auswertung: Windows XP: Befall mit mehreren Schädlingen - Neu aufsetzten oder reparieren?

Windows XP: Befall mit mehreren Schädlingen - Neu aufsetzten oder reparieren?

Ähnliche Themen: Windows XP: Befall mit mehreren Schädlingen - Neu aufsetzten oder reparieren?