|
Log-Analyse und Auswertung: Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.01.2014, 15:59 | #1 |
| Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Hallo, dies ist der Computer meiner Freundin. Um einen Film im Internet sehen zu können, wurden ihr diverse Downloads angeboten, die sie alle genommen hat. Etwas davon war offensichtlich verseucht. Symptome: 1. Computer startet nach jedem Herunterfahren automatisch neu, obwohl "Herunterfahren", nicht "Neu starten" angeklickt wird. 2. Die Startseite unter Firefox und IE ist nationzoom und lässt sich unter Einstellungen nicht ändern. 3. z.B. Facebook lässt sich (manachmal) nicht als Seite aufbauen, sondern nur als Code. Zeitweise lösen sich diese Probleme von selbst, tauchen in den letzten Tagen auch immer mal wieder auf. Mein Lösungsansatz: malwarebytes quick scan 1. erster Lauf: 8 Meldungen, am 12.1. -> bereinigt 2. zweiter Lauf nach Neuinstallation, am 12.1. -> 0 Funde 3. dritter Lauf nach Nuinstallation, heute -> 8 Funde, bereinigt Die log-Dateien habe ich irrtümlich gelöscht. Heute habe ich den WinZip Malware Protector laufen lassen -> 11 Funde. Hier die log-file: Code:
ATTFilter Nico Mak Computing WinZip Malware Protector Datum der Überprüfung Donnerstag, 16. Januar 2014 Datenbankversion 1647 Gefundene Elemente insgesamt 11 Überprüfte Objekte: 252558 Abgelaufene Zeit: 00:17:08 Name Gefundene Elemente Name der Infektion malware.gen Kategorie Generic Malware Bedrohungsstufe High Durchgeführte Aktion NoActionTaken Elemente gefunden 3 Gefundener Bereich FileSystem Details Dateiname c:\users\frogyne\desktop\hry\spiele\lernwerkstatt 7\txtextcontrol\tx12_tls.dll MD5 0 Signatur 14793321651993953292 Md5hash: 1e351a90abe0d347e1003593441b1a94 Gefundener Bereich FileSystem Details Dateiname c:\users\frogyne\desktop\hry\spiele\lernwerkstatt 7\txtextcontrol\tx12_wnd.dll MD5 0 Signatur 1670302215183674961 Md5hash: c632353cadbc3b756d358c13d960f653 Gefundener Bereich FileSystem Details Dateiname c:\users\frogyne\downloads\xnview-win-de-downloader.exe MD5 0 Signatur 355514118977155839 Md5hash: f4975c98f118771870b8def2919610bf Name der Infektion pup.optional Kategorie Potentially Unwanted Application Bedrohungsstufe High Durchgeführte Aktion NoActionTaken Elemente gefunden 7 Gefundener Bereich Registry Details Registrierungsschlüssel hkey_current_user software\microsoft\internet explorer\searchscopes\{014db5fa-eafb-4592-a95b-f44d3ee87fa9} Gefundener Bereich Registry Details Registrierungsschlüssel hkey_current_user software\microsoft\internet explorer\searchscopes\{014db5fa-eafb-4592-a95b-f44d3ee87fa9} url Gefundener Bereich Registry Details Registrierungsschlüssel hkey_current_user software\microsoft\internet explorer\searchscopes\{014db5fa-eafb-4592-a95b-f44d3ee87fa9} suggestionsurl_json Gefundener Bereich Registry Details Registrierungsschlüssel hkey_current_user software\microsoft\internet explorer\searchscopes\{014db5fa-eafb-4592-a95b-f44d3ee87fa9} displayname Gefundener Bereich Registry Details Registrierungsschlüssel hkey_current_user software\microsoft\internet explorer\searchscopes\{014db5fa-eafb-4592-a95b-f44d3ee87fa9} showsearchsuggestions Gefundener Bereich Registry Details Registrierungsschlüssel hkey_current_user software\microsoft\internet explorer\searchscopes\{014db5fa-eafb-4592-a95b-f44d3ee87fa9} deleted Gefundener Bereich Registry Details Registrierungsschlüssel hkey_local_machine software\classes\clsid\{1aa60054-57d9-4f99-9a55-d0fbfbe7ecd3} Name der Infektion Restricted Settings Kategorie Security Disabler Bedrohungsstufe Medium Durchgeführte Aktion NoActionTaken Elemente gefunden 1 Gefundener Bereich WindowsSettings Details Registrierungsschlüssel hkey_local_machine software\clients\startmenuinternet\iexplore.exe\shell\open\command © 2013 WinZip International LLC. All rights reserved. Dann habe ich an Euch gedacht und bin die ersten Lösungsversuche durchgegangen: Defogger Log, nicht re-enabled: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1) Log created at 15:08 on 16/01/2014 (frogyne) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- FRST Log: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-01-2014 03 Ran by frogyne (administrator) on FROGYNE-PC on 16-01-2014 15:10:42 Running from C:\Users\frogyne\Desktop Windows 7 Ultimate Service Pack 1 (X64) OS Language: German Standard Internet Explorer Version 11 Boot Mode: Normal The only official download link for FRST: Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ Download link from any site other than Bleeping Computer is unpermitted or outdated. See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Processes (Whitelisted) ================= (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Microsoft Corporation) C:\Windows\System32\wlanext.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Intel(R) Corporation) C:\Program Files\Intel\WiFi\bin\EvtEng.exe (Garmin Ltd or its subsidiaries) C:\Program Files (x86)\Garmin\Core Update Service\Garmin.Cartography.MapUpdate.CoreService.exe () C:\Program Files (x86)\Novatel Wireless\Novacore\Server\NvtlSrvr.exe (NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (Intel(R) Corporation) C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (Ericsson AB) C:\Program Files (x86)\Dell\Dell WWAN\WMCore\mini_WMCore.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (Intel(R) Corporation) C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe (Dell Inc.) C:\Program Files\Dell\QuickSet\quickset.exe () C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe (Intel Corporation) C:\Windows\System32\igfxtray.exe (Intel Corporation) C:\Windows\System32\hkcmd.exe (Intel Corporation) C:\Windows\System32\igfxpers.exe (Ericsson AB) C:\Program Files (x86)\Dell\Dell Mobile Broadband Manager\WirelessManager.exe (Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe (Garmin Ltd or its subsidiaries) C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe (SupportSoft, Inc.) C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe (Hewlett-Packard) C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Sun Microsystems, Inc.) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe (SupportSoft, Inc.) C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe (Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_170.exe (Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_170.exe (Nico Mak Computing) C:\Program Files (x86)\WinZip Malware Protector\WinZipMalwareProtector.exe (Microsoft Corporation) C:\Windows\splwow64.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [IntelWireless] - C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe [1933584 2010-11-02] (Intel(R) Corporation) HKLM\...\Run: [QuickSet] - C:\Program Files\Dell\QuickSet\QuickSet.exe [4479136 2010-12-29] (Dell Inc.) HKLM\...\Run: [IntelTBRunOnce] - C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs [4526 2010-11-29] () HKLM\...\Run: [FreeFallProtection] - C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe [686704 2010-12-17] () HKLM\...\Run: [NVHotkey] - C:\Windows\system32\nvHotkey.dll [312936 2010-11-29] (NVIDIA Corporation) HKLM-x32\...\Run: [dellsupportcenter] - C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe [206064 2009-05-21] (SupportSoft, Inc.) HKLM-x32\...\Run: [HP Software Update] - C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [49208 2010-06-09] (Hewlett-Packard) HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-12] (Avira Operations GmbH & Co. KG) HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.) HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation) HKCU\...\Run: [WirelessManager] - C:\Program Files (x86)\Dell\Dell Mobile Broadband Manager\WirelessManager.exe [193064 2010-06-04] (Ericsson AB) HKCU\...\Run: [GarminExpressTrayApp] - C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [1098072 2013-03-27] (Garmin Ltd or its subsidiaries) HKCU\...\Run: [icq] - C:\Users\frogyne\AppData\Roaming\ICQM\icq.exe [29927256 2013-11-24] (ICQ) AppInit_DLLs: C:\Windows\system32\nvinitx.dll [226920 2010-11-29] (NVIDIA Corporation) AppInit_DLLs-x32: C:\Windows\SysWOW64\nvinit.dll [192616 2010-11-29] (NVIDIA Corporation) Startup: C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe () ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x2F1F80A722DACD01 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nationzoom.com/web/?type=ds&ts=1389868276&from=adks&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nationzoom.com/?type=hp&ts=1389868276&from=adks&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nationzoom.com/?type=hp&ts=1389868276&from=adks&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nationzoom.com/web/?type=ds&ts=1389868276&from=adks&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nationzoom.com/web/?type=ds&ts=1389868276&from=adks&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nationzoom.com/web/?type=ds&ts=1389868276&from=adks&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3319419&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP8DEFD444-DF18-4145-B039-618352D5E067&q={searchTerms}&SSPV= SearchScopes: HKCU - {68EC7357-B93B-4433-9B0C-53C869BF7CA6} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10261&src=kw&q={searchTerms}&locale=de_DE&apn_ptnrs=^AGS&apn_dtid=^YYYYYY^YY^DE&apn_uid=0ba98b88-0646-40c7-b27f-8d45e5e856a3&apn_sauid=C697FFBC-DEE9-48D9-A3F1-25A901060E2E BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Tcpip\Parameters: [DhcpNameServer] 192.168.178.1 FireFox: ======== FF ProfilePath: C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\23thm74a.default-1353858266560 FF user.js: detected! => C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\23thm74a.default-1353858266560\user.js FF NewTab: hxxp://www.nationzoom.com/newtab/?type=nt&ts=1389868276&from=adks&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77 FF SelectedSearchEngine: nationzoom FF Homepage: hxxp://www.google.de/ FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll () FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @microsoft.com/GENUINE - disabled No File FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll () FF Plugin-x32: @java.com/DTPlugin,version=10.17.2 - C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin,version=10.17.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll No File FF Plugin-x32: @microsoft.com/GENUINE - disabled No File FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll No File FF Plugin-x32: @nvidia.com/3DVision - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation) FF Plugin-x32: @nvidia.com/3DVisionStreaming - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml FF Extension: Plus-HD-4.6 - C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\23thm74a.default-1353858266560\Extensions\5fdca21f-37d5-4e88-90b5-9d2f3ac7528e@842a12bf-3d32-40de-9ffb-8543bfad2483.com [2014-01-12] FF Extension: VLC Addon - C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\23thm74a.default-1353858266560\Extensions\toolbarbutton@vlc.info [2014-01-12] FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\Web Assistant\Firefox FF HKLM-x32\...\Firefox\Extensions: [webbooster@iminent.com] - C:\Program Files (x86)\Iminent\webbooster@iminent.com FF StartMenuInternet: FIREFOX.EXE - firefox.exe ==================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-12] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-11-19] (Avira Operations GmbH & Co. KG) R2 Garmin Core Update Service; C:\Program Files (x86)\Garmin\Core Update Service\Garmin.Cartography.MapUpdate.CoreService.exe [185688 2013-03-27] (Garmin Ltd or its subsidiaries) S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [340240 2010-11-02] () R2 NvtlService; C:\Program Files (x86)\Novatel Wireless\Novacore\Server\NvtlSrvr.exe [83456 2009-12-29] () R2 WMCoreService; C:\Program Files (x86)\Dell\Dell WWAN\WMCore\mini_WMCore.exe [463912 2010-06-09] (Ericsson AB) S2 Update Browsebeyond; "C:\Program Files (x86)\Browsebeyond\updateBrowsebeyond.exe" [x] ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-12] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-12] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-11-19] (Avira Operations GmbH & Co. KG) S3 VGPU; System32\drivers\rdvgkmd.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2014-01-16 15:10 - 2014-01-16 15:11 - 00012654 _____ C:\Users\frogyne\Desktop\FRST.txt 2014-01-16 15:10 - 2014-01-16 15:10 - 02076160 _____ (Farbar) C:\Users\frogyne\Desktop\FRST64.exe 2014-01-16 15:10 - 2014-01-16 15:10 - 00000000 ____D C:\FRST 2014-01-16 15:08 - 2014-01-16 15:08 - 00000476 _____ C:\Users\frogyne\Desktop\defogger_disable.log 2014-01-16 15:08 - 2014-01-16 15:08 - 00000000 _____ C:\Users\frogyne\defogger_reenable 2014-01-16 15:06 - 2014-01-16 15:06 - 00050477 _____ C:\Users\frogyne\Desktop\Defogger.exe 2014-01-16 15:03 - 2014-01-16 15:03 - 00006661 _____ C:\Users\frogyne\Desktop\log.xml 2014-01-16 14:45 - 2014-01-16 14:45 - 04892480 _____ (WinZip International LLC ) C:\Users\frogyne\Desktop\wzmp_8.exe 2014-01-16 14:45 - 2014-01-16 14:45 - 00003116 _____ C:\Windows\System32\Tasks\WinZip Malware Protector_startup 2014-01-16 14:45 - 2014-01-16 14:45 - 00001195 _____ C:\Users\Public\Desktop\WinZip Malware Protector.lnk 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\Users\frogyne\AppData\Roaming\Nico Mak Computing 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\ProgramData\Nico Mak Computing 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\Program Files (x86)\WinZip Malware Protector 2014-01-16 14:45 - 2013-03-15 17:10 - 00020480 _____ C:\Windows\system32\wsusnative64.exe 2014-01-16 11:36 - 2014-01-16 11:37 - 00000000 ____D C:\ProgramData\VisualBee 2014-01-16 11:36 - 2014-01-16 11:36 - 00001232 _____ C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Create Amazing Presentations.lnk 2014-01-16 11:36 - 2014-01-16 11:36 - 00000000 ____D C:\Users\frogyne\AppData\Local\emaze 2014-01-16 11:35 - 2014-01-16 11:43 - 00000000 ____D C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie 2014-01-16 11:35 - 2014-01-16 11:37 - 00000000 ____D C:\Program Files (x86)\MyPC Backup 2014-01-16 11:32 - 2014-01-16 11:42 - 00000000 ____D C:\Program Files (x86)\SupTab 2014-01-16 11:32 - 2014-01-16 11:40 - 00000000 ____D C:\ProgramData\IePluginService 2014-01-16 07:45 - 2013-11-27 02:41 - 00343040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00325120 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00099840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00007808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys 2014-01-16 07:45 - 2013-11-26 12:40 - 00376768 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys 2014-01-16 07:45 - 2013-11-26 11:32 - 03156480 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys 2014-01-12 14:22 - 2014-01-16 11:31 - 00001345 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk 2014-01-12 14:22 - 2014-01-12 14:22 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2014-01-12 13:46 - 2014-01-16 11:43 - 00000000 ____D C:\Users\frogyne\AppData\Local\Mobogenie 2014-01-12 13:46 - 2014-01-16 11:38 - 00000000 ____D C:\Users\frogyne\AppData\Local\cache 2014-01-12 13:46 - 2014-01-16 11:36 - 00000000 ____D C:\ProgramData\WPM 2014-01-12 13:46 - 2014-01-12 14:08 - 00000000 ____D C:\Program Files (x86)\VideoLAN 2014-01-12 13:46 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\Documents\Mobogenie 2014-01-12 13:46 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\AppData\Local\genienext 2014-01-12 13:46 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\.android 2013-12-20 07:45 - 2014-01-12 14:22 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox ==================== One Month Modified Files and Folders ======= 2014-01-16 15:11 - 2014-01-16 15:10 - 00012654 _____ C:\Users\frogyne\Desktop\FRST.txt 2014-01-16 15:10 - 2014-01-16 15:10 - 02076160 _____ (Farbar) C:\Users\frogyne\Desktop\FRST64.exe 2014-01-16 15:10 - 2014-01-16 15:10 - 00000000 ____D C:\FRST 2014-01-16 15:08 - 2014-01-16 15:08 - 00000476 _____ C:\Users\frogyne\Desktop\defogger_disable.log 2014-01-16 15:08 - 2014-01-16 15:08 - 00000000 _____ C:\Users\frogyne\defogger_reenable 2014-01-16 15:08 - 2012-06-24 10:22 - 00000000 ____D C:\Users\frogyne 2014-01-16 15:06 - 2014-01-16 15:06 - 00050477 _____ C:\Users\frogyne\Desktop\Defogger.exe 2014-01-16 15:03 - 2014-01-16 15:03 - 00006661 _____ C:\Users\frogyne\Desktop\log.xml 2014-01-16 14:58 - 2012-06-24 14:11 - 00000000 ____D C:\Users\frogyne\Desktop\bilder 2014-01-16 14:55 - 2012-06-24 06:50 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-16 14:54 - 2012-11-06 20:39 - 00000000 ____D C:\Users\frogyne\Desktop\arbeit 2014-01-16 14:47 - 2009-07-14 05:45 - 00020272 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2014-01-16 14:47 - 2009-07-14 05:45 - 00020272 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2014-01-16 14:45 - 2014-01-16 14:45 - 04892480 _____ (WinZip International LLC ) C:\Users\frogyne\Desktop\wzmp_8.exe 2014-01-16 14:45 - 2014-01-16 14:45 - 00003116 _____ C:\Windows\System32\Tasks\WinZip Malware Protector_startup 2014-01-16 14:45 - 2014-01-16 14:45 - 00001195 _____ C:\Users\Public\Desktop\WinZip Malware Protector.lnk 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\Users\frogyne\AppData\Roaming\Nico Mak Computing 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\ProgramData\Nico Mak Computing 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\Program Files (x86)\WinZip Malware Protector 2014-01-16 14:44 - 2012-06-24 09:53 - 01392402 _____ C:\Windows\WindowsUpdate.log 2014-01-16 14:39 - 2012-06-24 14:05 - 00000000 ____D C:\ProgramData\NVIDIA 2014-01-16 14:38 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2014-01-16 14:38 - 2009-07-14 05:51 - 00054704 _____ C:\Windows\setupact.log 2014-01-16 14:28 - 2012-11-03 08:15 - 00000000 ____D C:\Program Files (x86)\Ask.com 2014-01-16 14:23 - 2012-10-03 19:17 - 00000000 ____D C:\Users\frogyne\AppData\Local\Facebook 2014-01-16 14:19 - 2009-07-14 05:45 - 00294168 _____ C:\Windows\system32\FNTCACHE.DAT 2014-01-16 14:15 - 2013-08-14 20:09 - 00000000 ____D C:\Windows\system32\MRT 2014-01-16 14:14 - 2012-06-28 08:40 - 86054176 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe 2014-01-16 14:08 - 2010-11-21 04:47 - 00220486 _____ C:\Windows\PFRO.log 2014-01-16 12:08 - 2012-07-10 20:57 - 00000000 ____D C:\ProgramData\Adobe 2014-01-16 11:43 - 2014-01-16 11:35 - 00000000 ____D C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie 2014-01-16 11:43 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\AppData\Local\Mobogenie 2014-01-16 11:42 - 2014-01-16 11:32 - 00000000 ____D C:\Program Files (x86)\SupTab 2014-01-16 11:40 - 2014-01-16 11:32 - 00000000 ____D C:\ProgramData\IePluginService 2014-01-16 11:38 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\AppData\Local\cache 2014-01-16 11:37 - 2014-01-16 11:36 - 00000000 ____D C:\ProgramData\VisualBee 2014-01-16 11:37 - 2014-01-16 11:35 - 00000000 ____D C:\Program Files (x86)\MyPC Backup 2014-01-16 11:37 - 2012-06-24 10:23 - 00000000 ___RD C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2014-01-16 11:36 - 2014-01-16 11:36 - 00001232 _____ C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Create Amazing Presentations.lnk 2014-01-16 11:36 - 2014-01-16 11:36 - 00000000 ____D C:\Users\frogyne\AppData\Local\emaze 2014-01-16 11:36 - 2014-01-12 13:46 - 00000000 ____D C:\ProgramData\WPM 2014-01-16 11:31 - 2014-01-12 14:22 - 00001345 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk 2014-01-16 11:31 - 2012-06-24 10:23 - 00001619 _____ C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk 2014-01-16 10:50 - 2012-06-24 14:05 - 00000000 ____D C:\Users\UpdatusUser.frogyne-PC 2014-01-16 07:35 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\registration 2014-01-12 14:22 - 2014-01-12 14:22 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2014-01-12 14:22 - 2013-12-20 07:45 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2014-01-12 14:08 - 2014-01-12 13:46 - 00000000 ____D C:\Program Files (x86)\VideoLAN 2014-01-12 13:46 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\Documents\Mobogenie 2014-01-12 13:46 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\AppData\Local\genienext 2014-01-12 13:46 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\.android 2013-12-31 07:08 - 2011-04-12 08:43 - 00654400 _____ C:\Windows\system32\perfh007.dat 2013-12-31 07:08 - 2011-04-12 08:43 - 00130240 _____ C:\Windows\system32\perfc007.dat 2013-12-31 07:08 - 2009-07-14 06:13 - 01498742 _____ C:\Windows\system32\PerfStringBackup.INI 2013-12-24 13:03 - 2009-07-14 06:09 - 00000000 ____D C:\Windows\System32\Tasks\WPD Some content of TEMP: ==================== C:\Users\frogyne\AppData\Local\Temp\avgnt.exe C:\Users\frogyne\AppData\Local\Temp\BackupSetup.exe C:\Users\frogyne\AppData\Local\Temp\FP_PL_PFS_INSTALLER-1.exe C:\Users\frogyne\AppData\Local\Temp\FP_PL_PFS_INSTALLER.exe C:\Users\frogyne\AppData\Local\Temp\MSN7E30.exe C:\Users\frogyne\AppData\Local\Temp\plus-hd-2-5.exe C:\Users\frogyne\AppData\Local\Temp\SendMsg.dll C:\Users\frogyne\AppData\Local\Temp\setup.exe C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite18506.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite23194.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite34100.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite37956.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite50815.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite85770.dll C:\Users\frogyne\AppData\Local\Temp\vcredist_x64.exe ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2012-06-24 09:50 ==================== End Of Log ============================ Und die Addition Log: Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x64) Version: 15-01-2014 03 Ran by frogyne at 2014-01-16 15:11:42 Running from C:\Users\frogyne\Desktop Boot Mode: Normal ========================================================== ==================== Security Center ======================== AV: Avira Desktop (Enabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C} AS: Avira Desktop (Enabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691} AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} ==================== Installed Programs ====================== AccelerometerP11 (x32 Version: 2.00.11.22 - STMicroelectronics) Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) AVerISDBMail 1.0.1.1 (x32 Version: 1.0.1.1 - AVerMedia TECHNOLOGIES, Inc.) AVerMedia A319 MiniCard Pure ISDBT 1.4.64.45 (x32 Version: 1.4.64.45 - AVerMedia TECHNOLOGIES, Inc.) AVerMedia H339 Hybrid TV Tuner 2.2.64.69 (x32 Version: 2.2.64.69 - AVerMedia TECHNOLOGIES, Inc.) Avira Free Antivirus (x32 Version: 14.0.2.286 - Avira) Big Fish Games: Game Manager (x32 Version: 3.0.1.60 - ) Dell Mobile Broadband Manager (x32 Version: 6.1.21.2 - Dell) Dell Mobile Broadband Utility (x32 Version: 3.00.23.003 - Novatel Wireless Inc.) Hidden Dell Mobile Broadband Utility (x32 Version: 3.00.23.003 - Novatel Wireless) Dell Support Center (Support Software) (x32 Version: 2.5.09100 - Dell) Dell Wireless HSPA Mini-Card Drivers (x32 Version: 6.1.24.4 - Dell) Elevated Installer (x32 Version: 2.1.13 - Garmin Ltd or its subsidiaries) Hidden Garmin Express (x32 Version: 2.1.13 - Garmin Ltd or its subsidiaries) Hidden Garmin Express Tray (x32 Version: 2.1.13 - Garmin Ltd or its subsidiaries) Hidden Garmin Update Service (x32 Version: 2.1.13 - Garmin Ltd or its subsidiaries) Hidden HP Deskjet 2050 J510 series - Grundlegende Software für das Gerät (Version: 22.50.231.0 - Hewlett-Packard Co.) HP Deskjet 2050 J510 series Hilfe (x32 Version: 140.0.61.61 - Hewlett Packard) HP Photo Creations (x32 Version: 1.0.0.3781 - HP Photo Creations Powered by RocketLife) HP Update (x32 Version: 5.002.006.003 - Hewlett-Packard) ICQ 8.2 (build 6873) (HKCU Version: 8.2.6873.0 - Mail.Ru) InstallVC90Support (x32 Version: 1.01.0000 - Novatel Wireless) Hidden Intel PROSet Wireless (Version: - ) Hidden Intel(R) Processor Graphics (x32 Version: 8.15.10.2253 - Intel Corporation) Intel(R) PROSet/Wireless WiFi-Software (Version: 14.00.0000 - Intel Corporation) Java 7 Update 17 (x32 Version: 7.0.170 - Oracle) Java Auto Updater (x32 Version: 2.1.9.0 - Sun Microsystems, Inc.) Hidden Java(TM) 6 Update 22 (64-bit) (Version: 6.0.220 - Oracle) JMicron Flash Media Controller Driver (x32 Version: 1.0.52.4 - JMicron Technology Corp.) Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation) Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation) Hidden Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319 - Microsoft Corporation) Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319 - Microsoft Corporation) Hidden Microsoft Silverlight (x32 Version: 4.0.50401.0 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219 - Microsoft Corporation) Mozilla Firefox 26.0 (x86 de) (x32 Version: 26.0 - Mozilla) Mozilla Maintenance Service (x32 Version: 26.0 - Mozilla) NVIDIA 3D Vision Controller Driver (x32 Version: 266.19 - NVIDIA Corporation) Hidden NVIDIA 3D Vision Controller Driver 266.19 (Version: 266.19 - NVIDIA Corporation) NVIDIA 3D Vision Treiber 265.94 (Version: 265.94 - NVIDIA Corporation) NVIDIA Grafiktreiber 265.94 (Version: 265.94 - NVIDIA Corporation) NVIDIA HD-Audiotreiber 1.1.13.1 (Version: 1.1.13.1 - NVIDIA Corporation) NVIDIA Install Application (Version: 2.265.36.0 - NVIDIA Corporation) Hidden NVIDIA Optimus 1.0.9 (Version: 1.0.9 - NVIDIA Corporation) Hidden NVIDIA Stereoscopic 3D Driver (x32 Version: 7.17.12.6594 - NVIDIA Corporation) Hidden NVIDIA Systemsteuerung 265.94 (Version: 265.94 - NVIDIA Corporation) Hidden NVIDIA Update Components (Version: 1.0.9 - NVIDIA Corporation) Hidden OpenOffice.org 3.4.1 (x32 Version: 3.41.9593 - Apache Software Foundation) phase-6 2.3.3 (x32 Version: 2.3.3 - phase-6) Quickset64 (Version: 11.0.8 - Dell Inc.) Überwachungstool für die Intel® Turbo-Boost-Technik 2.0 (Version: 2.1.23.0 - Intel) Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (x32 Version: 1 - Microsoft Corporation) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (x32 Version: 1 - Microsoft Corporation) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (x32 Version: 1 - Microsoft Corporation) Update for Microsoft .NET Framework 4 Client Profile (KB2836939v3) (x32 Version: 3 - Microsoft Corporation) WinZip Malware Protector (x32 Version: 2.1.1000.10798 - WinZip International LLC) XnView 1.98.6 (x32 Version: 1.98.6 - Gougelet Pierre-e) ==================== Restore Points ========================= 11-12-2013 19:26:00 Windows Update 14-12-2013 22:06:15 Windows Update 18-12-2013 07:28:58 Windows Update 24-12-2013 12:08:57 Windows Update 31-12-2013 07:46:45 Windows Update 07-01-2014 09:42:14 Windows Update 10-01-2014 14:08:42 Windows Update 14-01-2014 10:42:24 Windows Update 15-01-2014 21:26:35 Windows Update 16-01-2014 06:45:37 Windows Update 16-01-2014 10:40:02 Removed Facebook Video Calling 2.0.0.447 16-01-2014 11:05:18 Removed Facebook Video Calling 2.0.0.447 16-01-2014 11:05:51 Removed Facebook Video Calling 2.0.0.447 16-01-2014 11:06:39 Removed Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 16-01-2014 11:07:37 Removed Adobe Reader X (10.1.9) - Deutsch. 16-01-2014 13:13:36 Windows Update ==================== Hosts content: ========================== 2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts ==================== Scheduled Tasks (whitelisted) ============= Task: {5490E585-05B6-4EB1-A291-A6C5F8E40174} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe <==== ATTENTION Task: {7BD89483-93EA-408F-903D-57B7F79E93E0} - System32\Tasks\WinZip Malware Protector_startup => C:\Program Files (x86)\WinZip Malware Protector\WinZipMalwareProtector.exe [2013-07-15] (Nico Mak Computing) Task: {F7AE2077-B4CD-48FE-84FF-9739DB166896} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-12-11] (Adobe Systems Incorporated) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe ==================== Loaded Modules (whitelisted) ============= 2010-11-02 11:58 - 2010-11-02 11:58 - 01501696 _____ () C:\Program Files\Common Files\Intel\WirelessCommon\LIBEAY32.dll 2012-06-24 14:01 - 2010-11-29 03:34 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll 2012-11-03 08:13 - 2013-12-10 07:14 - 00394808 _____ () C:\Program Files (x86)\Avira\AntiVir Desktop\sqlite3.dll 2012-06-24 06:37 - 2010-02-17 11:20 - 00065576 ____R () C:\Program Files (x86)\Dell\Dell WWAN\WMCore\MBMDebug.dll 2010-02-12 13:53 - 2010-02-12 13:53 - 00058880 ____R () C:\Program Files (x86)\Dell\Dell Mobile Broadband Manager\MBMDebug.dll 2012-08-10 15:51 - 2012-08-10 15:51 - 00985088 _____ () C:\Program Files (x86)\OpenOffice.org 3\program\libxml2.dll 2012-08-10 15:50 - 2012-08-10 15:50 - 00170496 _____ () C:\Program Files (x86)\OpenOffice.org 3\program\libxslt.dll 2012-06-24 14:04 - 2010-11-29 17:04 - 00004096 _____ () C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll 2014-01-12 14:22 - 2013-12-05 20:36 - 03559024 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll 2010-11-29 03:31 - 2010-11-29 03:31 - 00235112 _____ () C:\Program Files (x86)\NVIDIA Corporation\3D Vision\Nv3DVStreaming.dll 2013-12-11 15:55 - 2013-12-11 15:55 - 16242056 _____ () C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll 2014-01-16 14:45 - 2013-02-28 16:53 - 00886272 _____ () C:\Program Files (x86)\WinZip Malware Protector\System.Data.SQLite.dll 2014-01-16 14:45 - 2013-07-15 16:53 - 01717936 _____ () C:\Program Files (x86)\WinZip Malware Protector\aspsys.dll 2014-01-16 14:45 - 2013-02-28 16:53 - 00168448 _____ () C:\Program Files (x86)\WinZip Malware Protector\UNRAR.DLL ==================== Alternate Data Streams (whitelisted) ========= AlternateDataStreams: C:\ProgramData\TEMP:11590865 AlternateDataStreams: C:\ProgramData\TEMP:1ECED34B AlternateDataStreams: C:\ProgramData\TEMP:206470A5 AlternateDataStreams: C:\ProgramData\TEMP:2AE74FF9 AlternateDataStreams: C:\ProgramData\TEMP:D6D084A5 ==================== Safe Mode (whitelisted) =================== ==================== Faulty Device Manager Devices ============= Name: USB (Universal Serial Bus)-Controller Description: USB (Universal Serial Bus)-Controller Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: SM-Bus-Controller Description: SM-Bus-Controller Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. ==================== Event log errors: ========================= Application errors: ================== Error: (01/16/2014 02:39:38 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 02:20:43 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 02:17:33 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 02:09:34 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 11:53:42 AM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 10:51:21 AM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 07:37:41 AM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 07:36:48 AM) (Source: Avira Antivirus) (User: NT-AUTORITÄT) Description: Die Lizenzdatei enthält keine gültige Lizenz. Der Dienst wird beendet! Error: (01/15/2014 08:34:04 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/15/2014 07:06:38 AM) (Source: Customer Experience Improvement Program) (User: ) Description: 80004005 System errors: ============= Error: (01/16/2014 02:39:32 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Update Browsebeyond" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error: (01/16/2014 02:20:40 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Update Browsebeyond" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error: (01/16/2014 02:17:24 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Update Browsebeyond" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error: (01/16/2014 02:09:30 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Update Browsebeyond" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error: (01/16/2014 11:53:39 AM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Update Browsebeyond" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error: (01/16/2014 11:00:54 AM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Windows Update" wurde nicht richtig gestartet. Error: (01/16/2014 10:50:59 AM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Update Browsebeyond" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error: (01/16/2014 10:50:54 AM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Garmin Core Update Service" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error: (01/16/2014 10:50:54 AM) (Source: Service Control Manager) (User: ) Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Garmin Core Update Service erreicht. Error: (01/16/2014 10:50:24 AM) (Source: Microsoft-Windows-WLAN-AutoConfig) (User: NT-AUTORITÄT) Description: Das WLAN-Erweiterungsmodul konnte nicht gestartet werden. Modulpfad: C:\Windows\System32\IWMSSvc.dll Fehlercode: 87 Microsoft Office Sessions: ========================= Error: (01/16/2014 02:39:38 PM) (Source: WinMgmt)(User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 02:20:43 PM) (Source: WinMgmt)(User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 02:17:33 PM) (Source: WinMgmt)(User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 02:09:34 PM) (Source: WinMgmt)(User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 11:53:42 AM) (Source: WinMgmt)(User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 10:51:21 AM) (Source: WinMgmt)(User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 07:37:41 AM) (Source: WinMgmt)(User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/16/2014 07:36:48 AM) (Source: Avira Antivirus)(User: NT-AUTORITÄT) Description: 0x0 Error: (01/15/2014 08:34:04 PM) (Source: WinMgmt)(User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/15/2014 07:06:38 AM) (Source: Customer Experience Improvement Program)(User: ) Description: 80004005 CodeIntegrity Errors: =================================== Date: 2014-01-16 12:12:26.646 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\winsxs\x86_microsoft-windows-securestartup-core_31bf3856ad364e35_6.1.7601.17514_none_36e20fd4506111dd\fveapibase.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2014-01-16 12:12:26.553 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\winsxs\x86_microsoft-windows-securestartup-core_31bf3856ad364e35_6.1.7601.17514_none_36e20fd4506111dd\fveapibase.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2014-01-16 12:12:26.443 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\winsxs\x86_microsoft-windows-securestartup-core_31bf3856ad364e35_6.1.7601.17514_none_36e20fd4506111dd\fveapibase.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2014-01-16 12:12:25.960 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\winsxs\x86_microsoft-windows-s..trics-sensoradapter_31bf3856ad364e35_6.1.7601.17514_none_15b9320cd3bb4e05\winbiosensoradapter.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2014-01-16 12:12:25.866 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\winsxs\x86_microsoft-windows-s..trics-sensoradapter_31bf3856ad364e35_6.1.7601.17514_none_15b9320cd3bb4e05\winbiosensoradapter.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2014-01-16 12:12:25.757 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\winsxs\x86_microsoft-windows-s..trics-sensoradapter_31bf3856ad364e35_6.1.7601.17514_none_15b9320cd3bb4e05\winbiosensoradapter.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2014-01-16 12:11:54.323 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\winsxs\Backup\x86_microsoft-windows-s..trics-sensoradapter_31bf3856ad364e35_6.1.7601.17514_none_15b9320cd3bb4e05_winbiosensoradapter.dll_27e23485" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2014-01-16 12:11:54.214 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\winsxs\Backup\x86_microsoft-windows-s..trics-sensoradapter_31bf3856ad364e35_6.1.7601.17514_none_15b9320cd3bb4e05_winbiosensoradapter.dll_27e23485" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2014-01-16 12:11:54.104 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\winsxs\Backup\x86_microsoft-windows-s..trics-sensoradapter_31bf3856ad364e35_6.1.7601.17514_none_15b9320cd3bb4e05_winbiosensoradapter.dll_27e23485" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2014-01-16 12:11:29.363 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume3\$WINDOWS.~BT\Windows\System32\WinBioPlugIns\winbiosensoradapter.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. ==================== Memory info =========================== Percentage of memory in use: 37% Total physical RAM: 6058.17 MB Available physical RAM: 3782.14 MB Total Pagefile: 12114.52 MB Available Pagefile: 9450.59 MB Total Virtual: 8192 MB Available Virtual: 8191.82 MB ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:451.01 GB) (Free:251.11 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 07F2837E) Partition 1: (Not Active) - (Size=102 MB) - (Type=DE) Partition 2: (Active) - (Size=15 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=451 GB) - (Type=07 NTFS) ==================== End Of Log ============================ Zuletzt habe ich dann Internet gekappt, Avira deinstalliert, weil es sich nicht auf normale Weise stoppen ließ (auch nicht mit dem Task-Manager!) und dann GMER gestartet, was aber nach einigen Minuten (und Funden) durch Windows angebrochen wurde ("Programm funktioniert nicht mehr"). Beim zweiten Versuch lief es genauso. Dann habe ich den Computer heruntergefahren, er fuhr wieder automatisch sofort hoch. Dann habe ich Avira gedownloaded und wieder installiert und gestartet. Und hier bin ich nun. Vielen Dank im Voraus, Marco Geändert von kittypryde (16.01.2014 um 16:42 Uhr) |
16.01.2014, 16:42 | #2 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Hallo,
__________________Zitat:
Zitat:
__________________ |
16.01.2014, 17:03 | #3 |
| Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Gefunden.
__________________Hier die malwarebytes-log vom 12.1., wobei infizierte Objekte gefunden wurden: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2014.01.12.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 11.0.9600.16476 frogyne :: FROGYNE-PC [Administrator] 12.01.2014 20:53:07 mbam-log-2014-01-12 (20-53-07).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 271550 Laufzeit: 4 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 1 C:\Users\frogyne\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Löschen bei Neustart. Infizierte Registrierungsschlüssel: 5 HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\AppDataLow\Software\Crossrider (PUP.Optional.CrossRider.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\nationzoomSoftware (PUP.Optional.NationZoom.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\Software\Iminent (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NextLive (PUP.Optional.NextLive.A) -> Daten: C:\Windows\SysWOW64\rundll32.exe "C:\Users\frogyne\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 8 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Conduit.A) -> Bösartig: (hxxp://search.conduit.com/?ctid=CT3319419&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP8DEFD444-DF18-4145-B039-618352D5E067&SSPV=) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.NationZoom.A) -> Bösartig: (hxxp://www.nationzoom.com/?type=hp&ts=1389530689&from=sfpsnew1&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command| (PUP.Optional.NationZoom.A) -> Bösartig: (C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nationzoom.com/?type=sc&ts=1389530689&from=sfpsnew1&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77) Gut: (iexplore.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (PUP.Optional.NationZoom.A) -> Bösartig: (hxxp://www.nationzoom.com/web/?type=ds&ts=1389530689&from=sfpsnew1&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77&q={searchTerms}) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.NationZoom.A) -> Bösartig: (hxxp://www.nationzoom.com/?type=hp&ts=1389530689&from=sfpsnew1&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|DefaultScope (PUP.Optional.Qone8) -> Bösartig: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}) Gut: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\Software\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.NationZoom.A) -> Bösartig: (hxxp://www.nationzoom.com/?type=hp&ts=1389530689&from=sfpsnew1&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\Software\Microsoft\Internet Explorer\Main|Search Page (PUP.Optional.NationZoom) -> Bösartig: (hxxp://www.nationzoom.com/web/?type=ds&ts=1389530689&from=sfpsnew1&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77&q={searchTerms}) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 19 C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\Install (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\en_us (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\es_es (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\pt_br (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\tr_tr (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\zh_cn (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\zh_tw (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\layout (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\layout\default (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\style (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\Common Files\337\libcef (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\Common Files\337\libcef\1.1364.1123 (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\Common Files\337\libcef\1.1364.1123\locales (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Löschen bei Neustart. C:\Users\frogyne\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 58 C:\$Recycle.Bin\S-1-5-21-3665137354-3737077925-2144968737-1000\$RJRE53P.exe (Adware.Linkular) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\nsaFDAA.exe (PUP.Optional.SearchProtect.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\nsh500D.exe (PUP.Optional.SearchProtect.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\nsh90A7.exe (PUP.Optional.SearchProtect.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\nsh9450.exe (PUP.Optional.SearchProtect.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\nsm52EB.exe (PUP.Optional.SearchProtect.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\eInstall.exe (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\fullpackage_temp1389530676\tmp\desk365.exe (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\fullpackage_temp1389530676\tmp\NewGdp.exe (PUP.Optional.WpManager.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\nationzoom.xml (PUP.Optional.NationZoom.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Löschen bei Neustart. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\main (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\msvcp100.dll (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\msvcr100.dll (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\segoeui.ttf (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\segoeuib.ttf (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\app_icon.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\change_skin.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\combo_skin.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\edit_skin.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\install_back.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\install_button_skin.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\install_check_checked.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\install_check_intermediate.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\install_check_uncheck.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\install_logo.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\install_resource.xml (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\patch_file_icon.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\pic-error.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\pic-info.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\pic-question.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\pic-warning.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\popup_dialog_bk.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\progressbar_bk.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\progressbar_image.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\radio_normal.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\radio_selected.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\image\default\sys_close.png (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\Install\4zip.inst (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\Install\AirZip.inst (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\Install\edesk.inst (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\Install\gamelogin.inst (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\protocol.txt (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\en_us\install_lang.ini (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\es_es\install_lang.ini (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\pt_br\install_lang.ini (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\language\tr_tr\install_lang.ini (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\layout\default\eDeskInstall.xml (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\layout\default\gamelogin.xml (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\layout\default\install_msgbox.xml (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\layout\default\languageSelect.xml (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\layout\default\uninstgl.xml (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Local\Temp\Desk365\eInstall\style\install_style.xml (PUP.Optional.Desk365.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\Common Files\337\libcef\1.1364.1123\icudt.dll (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\Common Files\337\libcef\1.1364.1123\libcef.dll (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\Common Files\337\libcef\1.1364.1123\locales\en-US.pak (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\frogyne\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
17.01.2014, 12:28 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Malwarebytes Anti-Rootkit (MBAR) Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________ Logfiles bitte immer in CODE-Tags posten |
17.01.2014, 20:11 | #5 |
| Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Ich habe mbar jetzt zweimal laufen lassen, beide Male hat es nichts gefunden. Nach dem ersten Mal habe ich den PC heruntergefahren, er fuhr wieder direkt automatisch hoch. Nachdem Windows hochgefahren war, kam die Warnung von WinZip Malware Protector über 11 Schadprogramme/infizierte Dateien. Bei Mozilla war wieder nationzoom die Startseite, obwohl unter Einstellungen google.de und "Startseite anzeigen" gewählt ist. Hier die mbar-Log, erster und danach zweiter Versuch: Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.07.0.1008 www.malwarebytes.org Database version: v2014.01.17.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 11.0.9600.16476 frogyne :: FROGYNE-PC [administrator] 17.01.2014 18:26:30 mbar-log-2014-01-17 (18-26-30).txt Scan type: Quick scan Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken Scan options disabled: Objects scanned: 284925 Time elapsed: 37 minute(s), 49 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) Physical Sectors Detected: 0 (No malicious items detected) (end) Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.07.0.1008 www.malwarebytes.org Database version: v2014.01.17.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 11.0.9600.16476 frogyne :: FROGYNE-PC [administrator] 17.01.2014 19:22:08 mbar-log-2014-01-17 (19-22-08).txt Scan type: Quick scan Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken Scan options disabled: Objects scanned: 284700 Time elapsed: 43 minute(s), 15 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) Physical Sectors Detected: 0 (No malicious items detected) (end) |
18.01.2014, 03:57 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Adware/Junkware/Toolbars entfernen 1. Schritt: adwCleaner Downloade Dir bitte AdwCleaner auf deinen Desktop.
2. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
3. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
__________________ --> Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? |
18.01.2014, 08:40 | #7 |
| Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Ich habe alle Schritte wie angewiesen durchgeführt, es hat alles geklappt. Nach dem Hochfahren nach adwcleaner war google wieder die Firefox-Startseite. Avira habe ich vor FRST wieder aktiviert, ich hoffe, das war nicht kontraproduktiv. Hier die Logs. AdwCleaner: Code:
ATTFilter # AdwCleaner v3.017 - Bericht erstellt am 18/01/2014 um 08:07:30 # Aktualisiert 12/01/2014 von Xplode # Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits) # Benutzername : frogyne - FROGYNE-PC # Gestartet von : C:\Users\frogyne\Desktop\adwcleaner.exe # Option : Löschen ***** [ Dienste ] ***** ***** [ Dateien / Ordner ] ***** Ordner Gelöscht : C:\ProgramData\VisualBee Ordner Gelöscht : C:\ProgramData\WPM Ordner Gelöscht : C:\Program Files (x86)\Ask.com Ordner Gelöscht : C:\Program Files (x86)\MyPC Backup Ordner Gelöscht : C:\Program Files (x86)\SupTab Ordner Gelöscht : C:\Program Files (x86)\Common Files\337 Ordner Gelöscht : C:\Users\frogyne\AppData\Local\emaze Ordner Gelöscht : C:\Users\frogyne\AppData\Local\genienext Ordner Gelöscht : C:\Users\frogyne\AppData\Local\Mobogenie Ordner Gelöscht : C:\Users\frogyne\AppData\LocalLow\Toolbar4 Ordner Gelöscht : C:\Users\frogyne\AppData\Roaming\Systweak Ordner Gelöscht : C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie Ordner Gelöscht : C:\Users\frogyne\Documents\Mobogenie Datei Gelöscht : C:\Windows\System32\roboot64.exe Datei Gelöscht : C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\23thm74a.default-1353858266560\user.js Datei Gelöscht : C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\phzwxkq3.default\user.js Datei Gelöscht : C:\Windows\System32\Tasks\Desk 365 RunAsStdUser ***** [ Verknüpfungen ] ***** Verknüpfung Desinfiziert : C:\Users\Public\Desktop\Mozilla Firefox.lnk Verknüpfung Desinfiziert : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk Verknüpfung Desinfiziert : C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk Verknüpfung Desinfiziert : C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk Verknüpfung Desinfiziert : C:\Users\frogyne\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk Verknüpfung Desinfiziert : C:\Users\frogyne\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk ***** [ Registrierungsdatenbank ] ***** Wert Gelöscht : [x64] HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{336D0C35-8A85-403A-B9D2-65C292C39087}] Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [webbooster@iminent.com] Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\TbCommonUtils.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\TbHelper.EXE Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbDownloadManager Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbDownloadManager.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbRequest Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbRequest.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbTask Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbTask.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.ToolbarHelper Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.ToolbarHelper.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar3.ContextMenuNotifier Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar3.ContextMenuNotifier.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar3.CustomInternetSecurityImpl Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar3.CustomInternetSecurityImpl.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\Iminent_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\Iminent_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IminentSetup{2_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IminentSetup{2_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\wajamupdater_rasapi32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\wajamupdater_rasmancs Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon] Schlüssel Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\DeskSvc Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TBSB01620.IEToolbar Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TBSB01620.IEToolbar.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{1C950DE5-D31E-42FB-AFB9-91B0161633D8} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9F34B17E-FF0D-4FAB-97C4-9713FEE79052} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A9A56B8E-2DEB-4ED3-BC92-1FA450BCE1A5} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE338F6D-5A7C-4D1D-86E3-C618532079B5} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C339D489-FABC-41DD-B39D-276101667C70} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{D565B35E-B787-40FA-95E3-E3562F8FC1A0} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{D89031C2-10DA-4C90-9A62-FCED012BC46B} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291} Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7} Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} Schlüssel Gelöscht : HKCU\Software\IM Schlüssel Gelöscht : HKCU\Software\ImInstaller Schlüssel Gelöscht : HKCU\Software\powerpack Schlüssel Gelöscht : HKCU\Software\systweak Schlüssel Gelöscht : HKCU\Software\visualbee Schlüssel Gelöscht : HKLM\Software\Desksvc Schlüssel Gelöscht : HKLM\Software\hdcode Schlüssel Gelöscht : HKLM\Software\SupTab Schlüssel Gelöscht : HKLM\Software\supWPM Schlüssel Gelöscht : HKLM\Software\systweak Schlüssel Gelöscht : HKLM\Software\V9 Schlüssel Gelöscht : HKLM\Software\visualbee Schlüssel Gelöscht : HKLM\Software\Web Assistant Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Tarma Installer Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Web Assistant ***** [ Browser ] ***** -\\ Internet Explorer v11.0.9600.16428 Einstellung Wiederhergestellt : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] Einstellung Wiederhergestellt : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] Einstellung Wiederhergestellt : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page] Einstellung Wiederhergestellt : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] -\\ Mozilla Firefox v26.0 (de) [ Datei : C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\23thm74a.default-1353858266560\prefs.js ] Zeile gelöscht : user_pref("browser.newtab.url", "hxxp://www.nationzoom.com/newtab/?type=nt&ts=1389868276&from=adks&uid=ST9500420AS_5VJAPY77XXXX5VJAPY77"); Zeile gelöscht : user_pref("browser.search.selectedEngine", "nationzoom"); Zeile gelöscht : user_pref("extensions.crossrider.bic", "143867ebb01bcb525d7c5c1ce3d21587"); [ Datei : C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\phzwxkq3.default\prefs.js ] ************************* AdwCleaner[R0].txt - [21411 octets] - [18/01/2014 07:59:21] AdwCleaner[S0].txt - [19745 octets] - [18/01/2014 08:07:30] ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [19806 octets] ########## Code:
ATTFilter Junkware Removal Tool (JRT) by Thisisu Version: 6.1.0 (01.07.2014:1) OS: Windows 7 Ultimate x64 Ran by frogyne on 18.01.2014 at 8:19:11,05 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values Successfully deleted: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\apntbmon ~~~ Registry Keys Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{68EC7357-B93B-4433-9B0C-53C869BF7CA6} ~~~ Files ~~~ Folders Successfully deleted: [Folder] "C:\ProgramData\apn" Successfully deleted: [Folder] "C:\ProgramData\big fish games" ~~~ FireFox Successfully deleted: [Folder] C:\Users\frogyne\AppData\Roaming\mozilla\firefox\profiles\23thm74a.default-1353858266560\extensions\5fdca21f-37d5-4e88-90b5-9d2f3ac7528e@842a12bf-3d32-40de-9ffb-8543bfad2483.com Emptied folder: C:\Users\frogyne\AppData\Roaming\mozilla\firefox\profiles\23thm74a.default-1353858266560\minidumps [384 files] ~~~ Event Viewer Logs were cleared ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 18.01.2014 at 8:24:07,51 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 17-01-2014 03 Ran by frogyne (administrator) on FROGYNE-PC on 18-01-2014 08:32:14 Running from C:\Users\frogyne\Desktop Windows 7 Ultimate Service Pack 1 (X64) OS Language: German Standard Internet Explorer Version 11 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Microsoft Corporation) C:\Windows\System32\wlanext.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (APN LLC.) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe (Intel(R) Corporation) C:\Program Files\Intel\WiFi\bin\EvtEng.exe (Garmin Ltd or its subsidiaries) C:\Program Files (x86)\Garmin\Core Update Service\Garmin.Cartography.MapUpdate.CoreService.exe (Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe () C:\Program Files (x86)\Novatel Wireless\Novacore\Server\NvtlSrvr.exe (NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (Intel(R) Corporation) C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (Ericsson AB) C:\Program Files (x86)\Dell\Dell WWAN\WMCore\mini_WMCore.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe (SupportSoft, Inc.) C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe (Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Intel(R) Corporation) C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe (Dell Inc.) C:\Program Files\Dell\QuickSet\quickset.exe () C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe (Intel Corporation) C:\Windows\System32\igfxtray.exe (Intel Corporation) C:\Windows\System32\hkcmd.exe (Intel Corporation) C:\Windows\System32\igfxpers.exe (Ericsson AB) C:\Program Files (x86)\Dell\Dell Mobile Broadband Manager\WirelessManager.exe (Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe (Garmin Ltd or its subsidiaries) C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe (OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (SupportSoft, Inc.) C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe (Hewlett-Packard) C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe (OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (Sun Microsystems, Inc.) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (APN) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe (Nico Mak Computing) C:\Program Files (x86)\WinZip Malware Protector\WinZipMalwareProtector.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [IntelWireless] - C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe [1933584 2010-11-02] (Intel(R) Corporation) HKLM\...\Run: [QuickSet] - C:\Program Files\Dell\QuickSet\QuickSet.exe [4479136 2010-12-29] (Dell Inc.) HKLM\...\Run: [IntelTBRunOnce] - C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs [4526 2010-11-29] () HKLM\...\Run: [FreeFallProtection] - C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe [686704 2010-12-17] () HKLM\...\Run: [NVHotkey] - C:\Windows\system32\nvHotkey.dll [312936 2010-11-29] (NVIDIA Corporation) HKLM-x32\...\Run: [dellsupportcenter] - C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe [206064 2009-05-21] (SupportSoft, Inc.) HKLM-x32\...\Run: [HP Software Update] - C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [49208 2010-06-09] (Hewlett-Packard) HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.) HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-09] (Avira Operations GmbH & Co. KG) Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation) HKCU\...\Run: [WirelessManager] - C:\Program Files (x86)\Dell\Dell Mobile Broadband Manager\WirelessManager.exe [193064 2010-06-04] (Ericsson AB) HKCU\...\Run: [GarminExpressTrayApp] - C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [1098072 2013-03-27] (Garmin Ltd or its subsidiaries) HKCU\...\Run: [icq] - C:\Users\frogyne\AppData\Roaming\ICQM\icq.exe [29927256 2013-11-24] (ICQ) Startup: C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe () ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x2F1F80A722DACD01 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO: Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport_x64.dll (APN LLC.) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO-x32: Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport.dll (APN LLC.) BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKLM - Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport_x64.dll (APN LLC.) Toolbar: HKLM-x32 - Avira SearchFree Toolbar - {41564952-412D-5637-4300-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport.dll (APN LLC.) Tcpip\Parameters: [DhcpNameServer] 192.168.178.1 FireFox: ======== FF ProfilePath: C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\23thm74a.default-1353858266560 FF Homepage: hxxp://www.google.de/ FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll () FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @microsoft.com/GENUINE - disabled No File FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_170.dll () FF Plugin-x32: @java.com/DTPlugin,version=10.17.2 - C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin,version=10.17.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll No File FF Plugin-x32: @microsoft.com/GENUINE - disabled No File FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll No File FF Plugin-x32: @nvidia.com/3DVision - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation) FF Plugin-x32: @nvidia.com/3DVisionStreaming - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml FF Extension: VLC Addon - C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\23thm74a.default-1353858266560\Extensions\toolbarbutton@vlc.info [2014-01-12] FF Extension: Avira SearchFree Toolbar plus Web Protection - C:\Users\frogyne\AppData\Roaming\Mozilla\Firefox\Profiles\23thm74a.default-1353858266560\Extensions\toolbar_AVIRA-V7C@apn.ask.com.xpi [2013-12-20] FF StartMenuInternet: FIREFOX.EXE - firefox.exe ==================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-09] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-12-09] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-09] (Avira Operations GmbH & Co. KG) R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-12-20] (APN LLC.) R2 Garmin Core Update Service; C:\Program Files (x86)\Garmin\Core Update Service\Garmin.Cartography.MapUpdate.CoreService.exe [185688 2013-03-27] (Garmin Ltd or its subsidiaries) R2 MBAMScheduler; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation) R2 MBAMService; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation) S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [340240 2010-11-02] () R2 NvtlService; C:\Program Files (x86)\Novatel Wireless\Novacore\Server\NvtlSrvr.exe [83456 2009-12-29] () R2 WMCoreService; C:\Program Files (x86)\Dell\Dell WWAN\WMCore\mini_WMCore.exe [463912 2010-06-09] (Ericsson AB) S2 Update Browsebeyond; "C:\Program Files (x86)\Browsebeyond\updateBrowsebeyond.exe" [x] ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-09] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-09] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-12-09] (Avira Operations GmbH & Co. KG) R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [84720 2013-12-09] (Avira Operations GmbH & Co. KG) R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25928 2013-04-04] (Malwarebytes Corporation) S3 VGPU; System32\drivers\rdvgkmd.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2014-01-18 08:24 - 2014-01-18 08:24 - 00001365 _____ C:\Users\frogyne\Desktop\JRT.txt 2014-01-18 08:19 - 2014-01-18 08:19 - 00000000 ____D C:\Windows\ERUNT 2014-01-18 08:18 - 2014-01-18 08:18 - 01037068 _____ (Thisisu) C:\Users\frogyne\Desktop\JRT.exe 2014-01-18 07:59 - 2014-01-18 08:07 - 00000000 ____D C:\AdwCleaner 2014-01-18 07:58 - 2014-01-18 07:58 - 01236282 _____ C:\Users\frogyne\Desktop\adwcleaner.exe 2014-01-17 18:26 - 2014-01-17 20:05 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable) 2014-01-17 18:26 - 2014-01-17 19:22 - 00117464 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys 2014-01-17 18:24 - 2014-01-17 20:05 - 00000000 ____D C:\Users\frogyne\Desktop\mbar 2014-01-17 18:24 - 2014-01-17 19:21 - 00089304 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys 2014-01-17 18:23 - 2014-01-17 18:23 - 12582688 _____ (Malwarebytes Corp.) C:\Users\frogyne\Desktop\mbar-1.07.0.1008.exe 2014-01-16 17:01 - 2014-01-16 17:01 - 00001115 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2014-01-16 17:01 - 2014-01-16 17:01 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2014-01-16 17:01 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys 2014-01-16 17:00 - 2014-01-16 17:00 - 10285040 _____ (Malwarebytes Corporation ) C:\Users\frogyne\Desktop\mbam-setup-1.75.0.1300.exe 2014-01-16 15:38 - 2014-01-16 15:38 - 00000000 ____D C:\ProgramData\AskPartnerNetwork 2014-01-16 15:38 - 2014-01-16 15:38 - 00000000 ____D C:\Program Files (x86)\AskPartnerNetwork 2014-01-16 15:37 - 2014-01-16 15:37 - 00000000 ____D C:\Users\frogyne\AppData\Roaming\Avira 2014-01-16 15:36 - 2014-01-16 15:36 - 00002072 _____ C:\Users\Public\Desktop\Avira Control Center.lnk 2014-01-16 15:36 - 2014-01-16 15:36 - 00000000 ____D C:\Program Files (x86)\Avira 2014-01-16 15:36 - 2013-12-09 11:37 - 00131576 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys 2014-01-16 15:36 - 2013-12-09 11:37 - 00108440 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys 2014-01-16 15:36 - 2013-12-09 11:37 - 00084720 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys 2014-01-16 15:36 - 2013-12-09 11:37 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys 2014-01-16 15:34 - 2014-01-16 15:35 - 129598176 _____ C:\Users\frogyne\Desktop\avira_free344_antivirus_de.exe 2014-01-16 15:13 - 2014-01-16 15:13 - 00379904 _____ C:\Users\frogyne\Desktop\ofldmsfg.exe 2014-01-16 15:11 - 2014-01-16 15:12 - 00020879 _____ C:\Users\frogyne\Desktop\Addition.txt 2014-01-16 15:10 - 2014-01-18 08:32 - 00011783 _____ C:\Users\frogyne\Desktop\FRST.txt 2014-01-16 15:10 - 2014-01-18 08:31 - 02076160 _____ (Farbar) C:\Users\frogyne\Desktop\FRST64.exe 2014-01-16 15:10 - 2014-01-16 15:10 - 00000000 ____D C:\FRST 2014-01-16 15:08 - 2014-01-16 15:08 - 00000476 _____ C:\Users\frogyne\Desktop\defogger_disable.log 2014-01-16 15:08 - 2014-01-16 15:08 - 00000000 _____ C:\Users\frogyne\defogger_reenable 2014-01-16 15:06 - 2014-01-16 15:06 - 00050477 _____ C:\Users\frogyne\Desktop\Defogger.exe 2014-01-16 15:03 - 2014-01-16 15:03 - 00006661 _____ C:\Users\frogyne\Desktop\log.xml 2014-01-16 14:45 - 2014-01-18 08:17 - 00003116 _____ C:\Windows\System32\Tasks\WinZip Malware Protector_startup 2014-01-16 14:45 - 2014-01-16 14:45 - 04892480 _____ (WinZip International LLC ) C:\Users\frogyne\Desktop\wzmp_8.exe 2014-01-16 14:45 - 2014-01-16 14:45 - 00001195 _____ C:\Users\Public\Desktop\WinZip Malware Protector.lnk 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\Users\frogyne\AppData\Roaming\Nico Mak Computing 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\ProgramData\Nico Mak Computing 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\Program Files (x86)\WinZip Malware Protector 2014-01-16 14:45 - 2013-03-15 17:10 - 00020480 _____ C:\Windows\system32\wsusnative64.exe 2014-01-16 11:36 - 2014-01-16 11:36 - 00001232 _____ C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Create Amazing Presentations.lnk 2014-01-16 11:32 - 2014-01-16 11:40 - 00000000 ____D C:\ProgramData\IePluginService 2014-01-16 07:45 - 2013-11-27 02:41 - 00343040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00325120 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00099840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys 2014-01-16 07:45 - 2013-11-27 02:41 - 00007808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys 2014-01-16 07:45 - 2013-11-26 12:40 - 00376768 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys 2014-01-16 07:45 - 2013-11-26 11:32 - 03156480 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys 2014-01-12 14:22 - 2014-01-18 08:07 - 00001055 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk 2014-01-12 14:22 - 2014-01-12 14:22 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2014-01-12 13:46 - 2014-01-16 11:38 - 00000000 ____D C:\Users\frogyne\AppData\Local\cache 2014-01-12 13:46 - 2014-01-12 14:08 - 00000000 ____D C:\Program Files (x86)\VideoLAN 2014-01-12 13:46 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\.android 2013-12-20 07:45 - 2014-01-12 14:22 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox ==================== One Month Modified Files and Folders ======= 2014-01-18 08:32 - 2014-01-16 15:10 - 00011783 _____ C:\Users\frogyne\Desktop\FRST.txt 2014-01-18 08:31 - 2014-01-16 15:10 - 02076160 _____ (Farbar) C:\Users\frogyne\Desktop\FRST64.exe 2014-01-18 08:24 - 2014-01-18 08:24 - 00001365 _____ C:\Users\frogyne\Desktop\JRT.txt 2014-01-18 08:19 - 2014-01-18 08:19 - 00000000 ____D C:\Windows\ERUNT 2014-01-18 08:18 - 2014-01-18 08:18 - 01037068 _____ (Thisisu) C:\Users\frogyne\Desktop\JRT.exe 2014-01-18 08:17 - 2014-01-16 14:45 - 00003116 _____ C:\Windows\System32\Tasks\WinZip Malware Protector_startup 2014-01-18 08:17 - 2009-07-14 05:45 - 00020272 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2014-01-18 08:17 - 2009-07-14 05:45 - 00020272 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2014-01-18 08:09 - 2012-06-24 14:05 - 00000000 ____D C:\ProgramData\NVIDIA 2014-01-18 08:09 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2014-01-18 08:09 - 2009-07-14 05:51 - 00055040 _____ C:\Windows\setupact.log 2014-01-18 08:08 - 2012-06-24 09:53 - 01499796 _____ C:\Windows\WindowsUpdate.log 2014-01-18 08:07 - 2014-01-18 07:59 - 00000000 ____D C:\AdwCleaner 2014-01-18 08:07 - 2014-01-12 14:22 - 00001055 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk 2014-01-18 08:07 - 2012-06-24 10:23 - 00001001 _____ C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk 2014-01-18 07:58 - 2014-01-18 07:58 - 01236282 _____ C:\Users\frogyne\Desktop\adwcleaner.exe 2014-01-18 07:55 - 2012-06-24 06:50 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2014-01-17 20:05 - 2014-01-17 18:26 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable) 2014-01-17 20:05 - 2014-01-17 18:24 - 00000000 ____D C:\Users\frogyne\Desktop\mbar 2014-01-17 19:22 - 2014-01-17 18:26 - 00117464 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys 2014-01-17 19:21 - 2014-01-17 18:24 - 00089304 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys 2014-01-17 18:23 - 2014-01-17 18:23 - 12582688 _____ (Malwarebytes Corp.) C:\Users\frogyne\Desktop\mbar-1.07.0.1008.exe 2014-01-17 06:48 - 2010-11-21 04:47 - 00229292 _____ C:\Windows\PFRO.log 2014-01-16 17:01 - 2014-01-16 17:01 - 00001115 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2014-01-16 17:01 - 2014-01-16 17:01 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2014-01-16 17:00 - 2014-01-16 17:00 - 10285040 _____ (Malwarebytes Corporation ) C:\Users\frogyne\Desktop\mbam-setup-1.75.0.1300.exe 2014-01-16 15:38 - 2014-01-16 15:38 - 00000000 ____D C:\ProgramData\AskPartnerNetwork 2014-01-16 15:38 - 2014-01-16 15:38 - 00000000 ____D C:\Program Files (x86)\AskPartnerNetwork 2014-01-16 15:37 - 2014-01-16 15:37 - 00000000 ____D C:\Users\frogyne\AppData\Roaming\Avira 2014-01-16 15:36 - 2014-01-16 15:36 - 00002072 _____ C:\Users\Public\Desktop\Avira Control Center.lnk 2014-01-16 15:36 - 2014-01-16 15:36 - 00000000 ____D C:\Program Files (x86)\Avira 2014-01-16 15:36 - 2012-06-24 13:18 - 00000000 ____D C:\ProgramData\Avira 2014-01-16 15:35 - 2014-01-16 15:34 - 129598176 _____ C:\Users\frogyne\Desktop\avira_free344_antivirus_de.exe 2014-01-16 15:13 - 2014-01-16 15:13 - 00379904 _____ C:\Users\frogyne\Desktop\ofldmsfg.exe 2014-01-16 15:12 - 2014-01-16 15:11 - 00020879 _____ C:\Users\frogyne\Desktop\Addition.txt 2014-01-16 15:10 - 2014-01-16 15:10 - 00000000 ____D C:\FRST 2014-01-16 15:08 - 2014-01-16 15:08 - 00000476 _____ C:\Users\frogyne\Desktop\defogger_disable.log 2014-01-16 15:08 - 2014-01-16 15:08 - 00000000 _____ C:\Users\frogyne\defogger_reenable 2014-01-16 15:08 - 2012-06-24 10:22 - 00000000 ____D C:\Users\frogyne 2014-01-16 15:06 - 2014-01-16 15:06 - 00050477 _____ C:\Users\frogyne\Desktop\Defogger.exe 2014-01-16 15:03 - 2014-01-16 15:03 - 00006661 _____ C:\Users\frogyne\Desktop\log.xml 2014-01-16 14:58 - 2012-06-24 14:11 - 00000000 ____D C:\Users\frogyne\Desktop\bilder 2014-01-16 14:54 - 2012-11-06 20:39 - 00000000 ____D C:\Users\frogyne\Desktop\arbeit 2014-01-16 14:45 - 2014-01-16 14:45 - 04892480 _____ (WinZip International LLC ) C:\Users\frogyne\Desktop\wzmp_8.exe 2014-01-16 14:45 - 2014-01-16 14:45 - 00001195 _____ C:\Users\Public\Desktop\WinZip Malware Protector.lnk 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\Users\frogyne\AppData\Roaming\Nico Mak Computing 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\ProgramData\Nico Mak Computing 2014-01-16 14:45 - 2014-01-16 14:45 - 00000000 ____D C:\Program Files (x86)\WinZip Malware Protector 2014-01-16 14:23 - 2012-10-03 19:17 - 00000000 ____D C:\Users\frogyne\AppData\Local\Facebook 2014-01-16 14:19 - 2009-07-14 05:45 - 00294168 _____ C:\Windows\system32\FNTCACHE.DAT 2014-01-16 14:15 - 2013-08-14 20:09 - 00000000 ____D C:\Windows\system32\MRT 2014-01-16 14:14 - 2012-06-28 08:40 - 86054176 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe 2014-01-16 12:08 - 2012-07-10 20:57 - 00000000 ____D C:\ProgramData\Adobe 2014-01-16 11:40 - 2014-01-16 11:32 - 00000000 ____D C:\ProgramData\IePluginService 2014-01-16 11:38 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\AppData\Local\cache 2014-01-16 11:37 - 2012-06-24 10:23 - 00000000 ___RD C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2014-01-16 11:36 - 2014-01-16 11:36 - 00001232 _____ C:\Users\frogyne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Create Amazing Presentations.lnk 2014-01-16 10:50 - 2012-06-24 14:05 - 00000000 ____D C:\Users\UpdatusUser.frogyne-PC 2014-01-16 07:35 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\registration 2014-01-12 14:22 - 2014-01-12 14:22 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2014-01-12 14:22 - 2013-12-20 07:45 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2014-01-12 14:08 - 2014-01-12 13:46 - 00000000 ____D C:\Program Files (x86)\VideoLAN 2014-01-12 13:46 - 2014-01-12 13:46 - 00000000 ____D C:\Users\frogyne\.android 2013-12-31 07:08 - 2011-04-12 08:43 - 00654400 _____ C:\Windows\system32\perfh007.dat 2013-12-31 07:08 - 2011-04-12 08:43 - 00130240 _____ C:\Windows\system32\perfc007.dat 2013-12-31 07:08 - 2009-07-14 06:13 - 01498742 _____ C:\Windows\system32\PerfStringBackup.INI 2013-12-24 13:03 - 2009-07-14 06:09 - 00000000 ____D C:\Windows\System32\Tasks\WPD Some content of TEMP: ==================== C:\Users\frogyne\AppData\Local\Temp\avgnt.exe C:\Users\frogyne\AppData\Local\Temp\BackupSetup.exe C:\Users\frogyne\AppData\Local\Temp\FP_PL_PFS_INSTALLER-1.exe C:\Users\frogyne\AppData\Local\Temp\FP_PL_PFS_INSTALLER.exe C:\Users\frogyne\AppData\Local\Temp\MSN7E30.exe C:\Users\frogyne\AppData\Local\Temp\Offercast_AVIRAV7_.exe C:\Users\frogyne\AppData\Local\Temp\plus-hd-2-5.exe C:\Users\frogyne\AppData\Local\Temp\SendMsg.dll C:\Users\frogyne\AppData\Local\Temp\setup.exe C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite18506.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite23194.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite34100.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite37956.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite50815.dll C:\Users\frogyne\AppData\Local\Temp\System.Data.SQLite85770.dll C:\Users\frogyne\AppData\Local\Temp\vcredist_x64.exe ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2012-06-24 09:50 ==================== End Of Log ============================ |
18.01.2014, 16:11 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes Anti-Malware (MBAM) Hinweis: Denk bitte vorher daran, Malwarebytes Anti-Malware über den Updatebutton zu aktualisieren! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
18.01.2014, 21:06 | #9 |
| Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Habe Malwarebytes und ESET wie angewiesen durchlaufen lassen, beide haben nichts gefunden. MWB-log: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2014.01.18.03 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 11.0.9600.16476 frogyne :: FROGYNE-PC [Administrator] 18.01.2014 16:47:56 mbam-log-2014-01-18 (16-47-56).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 265124 Laufzeit: 3 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=e5a936df326f0642a578851dc557298e # engine=16703 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2014-01-18 08:02:40 # local_time=2014-01-18 09:02:40 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1799 16775165 100 94 19032 3493522 11807 0 # compatibility_mode=5893 16776574 100 94 197938 141705210 0 0 # scanned=537032 # found=0 # cleaned=0 # scan_time=10665 |
19.01.2014, 16:35 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? TFC - Temp File Cleaner Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.
Sieht soweit ok aus Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
20.01.2014, 21:43 | #11 |
| Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? Vielen Dank für die Hilfe und die Tips. Alles sieht gut aus. Soll ich den defogger-Status disabled beibehalten? |
20.01.2014, 21:45 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? defogger ist nur relevant wenn du CD/DVD Emulatorsoft installiert hast Dann wären wir durch! Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Helfen kann dir dabei delfix: Die Reihenfolge ist hier entscheidend.
Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Windows 7 Ultimate: automatisches Hochfahren durch Virus/Malware? |
adware.linkular, computer, einstellungen, flash player, funktioniert nicht mehr, homepage, iexplore.exe, internet explorer, mobogenie, mobogenie entfernen, nationzoom, nationzoom entfernen, newtab, pup.optional.337technologies.a, pup.optional.conduit.a, pup.optional.crossrider.a, pup.optional.desk365.a, pup.optional.iminent.a, pup.optional.nationzoom, pup.optional.nationzoom.a, pup.optional.nextlive.a, pup.optional.qone8, pup.optional.searchprotect.a, pup.optional.wpmanager.a, services.exe, software, svchost.exe, vcredist, winzip malware protector |