Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung

Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung


Log-Analyse und Auswertung: Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 05.03.2014, 21:38   #1
saltorico
 
Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung - Standard

Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung


Ich wollte von Sony das Programm PMB downloaden. Ich bin dabei auf eine Seite geraten, die mir versprochen hat, die Nachfolgerin des PMB-Programms anzubieten. Ich habe das Programm installiert und habe bei der Installation die Installation des PC-Optimierers untergeschoben erhalten.

Seitdem erscheinen im Internet-Explorer, bei diversen Gelegenheiten (z.B Seiten mit Adobe-Flash) diese Werbeboxen für diverse PC-Optimierungs-Tools. Norton schlägt auch an, mit der Meldung, dass ein fremder Server auf den PC zugreifen will.

So weit möglich habe ich die Programme deinstalliert. Es hat aber wohl noch SW drin, die nicht unbedingt rein gehört. Ich bin mir aber nicht sicher, ob ich diese auch löschen soll. Diese sind:
- WPM17.8.0.3393 von Cherished Technology Limited
- IePluginService12.27.0.3326 von Cherished Technology Limited
- PassWidget (lässt sich nicht entfernen)

Ich habe die Logs gemäss Anweisung erstellt. FRST64 läuft aber nicht durch und endet mit einer Fehlermeldung - Siehe PDF. Addition.txt wurde nicht erstellt.

Danke für euren Feedback!
Angehängte Dateien
Dateityp: pdf Fehlermeldung frst64.pdf (106,9 KB, 183x aufgerufen)

Alt 06.03.2014, 08:03   #2
schrauber
/// the machine
/// TB-Ausbilder
 
Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung - Standard

Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung


Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________

__________________
Alt 07.03.2014, 08:24   #3
saltorico
 
Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung - Standard

Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung


Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:54 on 05/03/2014 (*****-******)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 05-03-2014
Ran by ****-**** (administrator) on PC-2013 on 05-03-2014 20:58:54
Running from D:\****-****\Downloads
Windows 7 Professional Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 11
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(NVIDIA Corporation) C:\windows\system32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe
(Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\windows\system32\nvvsvc.exe
(Acronis) C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
(Adobe Systems Incorporated) C:\Program Files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe
(Acronis) C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
(Symantec Corporation) C:\Program Files (x86)\Norton 360\Engine\20.4.0.40\ccSvcHst.exe
() C:\Program Files (x86)\Pass-Widget-soft\PassWidget155.exe
(Sony Corporation) C:\Program Files (x86)\Sony\PMB\PMBDeviceInfoProvider.exe
() C:\Users\****-****\AppData\Roaming\ProtectExtension\protect\ProtectExtension.exe
(TomTom) C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
(Symantec Corporation) C:\Program Files (x86)\Norton 360\Engine\20.4.0.40\ccSvcHst.exe
() C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Acronis) C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
(TomTom) C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe
(Google Inc.) C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Hewlett-Packard Co.) C:\Program Files\HP\HP Officejet Pro 276dw MFP\Bin\ScanToPCActivationApp.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.8.141\SSScheduler.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(ACD Systems) C:\Program Files (x86)\ACD Systems\ACDSee Pro\5.0\ACDSeeProInTouch2.exe
(Hewlett-Packard) C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Acronis) C:\Program Files (x86)\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe
(Hewlett-Packard Co.) C:\Program Files\HP\HP Officejet Pro 276dw MFP\Bin\HPNetworkCommunicatorCom.exe
(Acronis) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe
(Sony Corporation) C:\Program Files (x86)\Sony\PMB\PMBVolumeWatcher.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Google Inc.) C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe
(Adobe Systems Incorporated) C:\windows\system32\Macromed\Flash\FlashUtil64_12_0_0_70_ActiveX.exe
(Microsoft Corporation) C:\windows\system32\prevhost.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [12445288 2012-01-16] (Realtek Semiconductor)
HKLM\...\Run: [ScrewDrivers RDP Plugin] - C:\Program Files (x86)\triCerat\Simplify Printing\ScrewDrivers Client v4\install_rdp.exe [136520 2011-08-26] ()
HKLM\...\Run: [Acronis Scheduler2 Service] - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe [395344 2011-09-22] (Acronis)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe [40312 2013-12-18] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [IAStorIcon] - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284440 2012-02-01] (Intel Corporation)
HKLM-x32\...\Run: [USB3MON] - C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [291608 2012-03-27] (Intel Corporation)
HKLM-x32\...\Run: [ACPW05EN] - C:\Program Files (x86)\ACD Systems\ACDSee Pro\5.0\ACDSeeProInTouch2.exe [822384 2011-11-17] (ACD Systems)
HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation)
HKLM-x32\...\Run: [HP Software Update] - C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [49208 2011-10-28] (Hewlett-Packard)
HKLM-x32\...\Run: [] - [X]
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM-x32\...\Run: [SAOB Monitor] - C:\Program Files (x86)\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe [2571032 2011-09-22] (Acronis)
HKLM-x32\...\Run: [TrueImageMonitor.exe] - C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe [5587832 2011-09-22] (Acronis)
HKLM-x32\...\Run: [PMBVolumeWatcher] - C:\Program Files (x86)\Sony\PMB\PMBVolumeWatcher.exe [651832 2011-08-24] (Sony Corporation)
HKU\S-1-5-21-4206322233-1881660341-161432239-1002\...\Run: [TomTomHOME.exe] - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe [248208 2013-03-22] (TomTom)
HKU\S-1-5-21-4206322233-1881660341-161432239-1002\...\Run: [swg] - C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2013-03-22] (Google Inc.)
HKU\S-1-5-21-4206322233-1881660341-161432239-1002\...\Run: [HP Officejet Pro 276dw MFP (NET)] - C:\Program Files\HP\HP Officejet Pro 276dw MFP\Bin\ScanToPCActivationApp.exe [2631784 2012-10-30] (Hewlett-Packard Co.)
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

==================== Internet (Whitelisted) ====================

ProxyEnable: Internet Explorer proxy is enabled.
ProxyServer: http=127.0.0.1:13828
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://www.steg-electronics.ch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://ch.msn.com/default.aspx?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xCA4BE806E611CE01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-CH
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hp&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hp&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393873844&from=vit&uid=SamsungXSSDX840XSeries_S14CNEBCB03649P&q={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKCU - {AFBCB7E0-F91A-4951-9F31-58FEE57A25C4} URL = hxxp://nortonsafe.search.ask.com/web?q={SEARCHTERMS}&o=APN10506&l=dis&prt=360&chn=o0&geo=CH&ver=20&locale=de_CH&gct=kwd&qsrc=2869
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.141\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO-x32: Norton Identity Protection - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files (x86)\Norton 360\Engine\20.4.0.40\coIEPlg.dll (Symantec Corporation)
BHO-x32: Norton Vulnerability Protection - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton 360\Engine\20.4.0.40\IPS\IPSBHO.DLL (Symantec Corporation)
BHO-x32: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO-x32: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll (Microsoft Corporation)
BHO-x32: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: BaseFlash Object - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\Users\****-****\AppData\Roaming\BaseFlash\IE\BaseFlash.dll ()
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
Toolbar: HKLM-x32 - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton 360\Engine\20.4.0.40\coIEPlg.dll (Symantec Corporation)
Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKCU - Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

Chrome: 
=======
CHR HomePage: hxxp://www.buenosearch.com/?babsrc=HP_ss&mntrId=A4B794DE8005884B&affID=128012&tsp=5175
CHR DefaultSearchKeyword: buenosearch.com
CHR DefaultSearchProvider: Bueno Search
CHR DefaultSearchURL: hxxp://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A4B794DE8005884B&affID=128012&tsp=5175
CHR DefaultNewTabURL: 
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\33.0.1750.146\PepperFlash\pepflashplayer.dll ()
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\33.0.1750.146\ppGoogleNaClPluginChrome.dll ()
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\33.0.1750.146\pdf.dll ()
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
CHR Plugin: (Intel® Identity Protection Technology) - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation)
CHR Plugin: (Intel® Identity Protection Technology) - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation)
CHR Plugin: (Java(TM) Platform SE 7 U17) - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
CHR Plugin: (Microsoft Office 2010) - C:\Program Files (x86)\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)
CHR Plugin: (Microsoft Office 2010) - C:\Program Files (x86)\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
CHR Plugin: (Silverlight Plug-In) - C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll No File
CHR Plugin: (NVIDIA 3D Vision) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
CHR Plugin: (NVIDIA 3D VISION) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
CHR Plugin: (Windows Live™ Photo Gallery) - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
CHR Plugin: (Java Deployment Toolkit 7.0.170.2) - C:\windows\SysWOW64\npDeployJava1.dll No File
CHR Extension: (Google Docs) - C:\Users\****-****\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2013-04-20]
CHR Extension: (Google Drive) - C:\Users\****-****\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2013-04-20]
CHR Extension: (YouTube) - C:\Users\****-****\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2013-04-20]
CHR Extension: (McAfee Security Scan+) - C:\Users\****-****\AppData\Local\Google\Chrome\User Data\Default\Extensions\bopakagnckmlgajfccecajhnimjiiedh [2014-03-03]
CHR Extension: (Extended Protection) - C:\Users\****-****\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml [2014-03-03]
CHR Extension: (Google-Suche) - C:\Users\****-****\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2013-04-20]
CHR Extension: (PassWidget) - C:\Users\****-****\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbdagnimlohkpamglloopgfnoiijpmoj [2014-03-03]
Code:
ATTFilter
GMER Logfile:


	
Code: 

 
ATTFilter


  

	
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-03-05 21:09:50
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 Samsung_ rev.DXT0 111.79GB
Running: Gmer-19357.exe; Driver: C:\Users\*****-*****\AppData\Local\Temp\ffldapob.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528                                                                                                                                                           fffff80003207000 16 bytes [8B, E3, 41, 5F, 41, 5E, 41, ...]
INITKDBG  C:\windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 545                                                                                                                                                           fffff80003207011 35 bytes {LEA ECX, [RSP+0x70]; CALL 0x3d64f}

---- User code sections - GMER 2.1 ----

.text     C:\ProgramData\IePluginService\PluginService.exe[1800] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                               0000000074ff1465 2 bytes [FF, 74]
.text     C:\ProgramData\IePluginService\PluginService.exe[1800] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                              0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\ProgramData\WPM\wprotectmanager.exe[1868] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                         0000000074ff1465 2 bytes [FF, 74]
.text     C:\ProgramData\WPM\wprotectmanager.exe[1868] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                        0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe[2716] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                         0000000074ff1465 2 bytes [FF, 74]
.text     C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe[2716] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                        0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget155.exe[2832] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                      0000000074ff1465 2 bytes [FF, 74]
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget155.exe[2832] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                     0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\Users\*****-*****\AppData\Roaming\ProtectExtension\protect\ProtectExtension.exe[2404] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                              0000000074ff1465 2 bytes [FF, 74]
.text     C:\Users\*****-*****\AppData\Roaming\ProtectExtension\protect\ProtectExtension.exe[2404] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                             0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                             000000007722fcb0 5 bytes JMP 00000001000b091c
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory                                                                                                           000000007722fe14 5 bytes JMP 00000001000b0048
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtOpenEvent                                                                                                                    000000007722fea8 5 bytes JMP 00000001000b02ee
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                 0000000077230004 5 bytes JMP 00000001000b04b2
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory                                                                                                         0000000077230038 5 bytes JMP 00000001000b09fe
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtResumeThread                                                                                                                 0000000077230068 5 bytes JMP 00000001000b0ae0
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                              0000000077230084 5 bytes JMP 0000000100020050
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                 000000007723079c 5 bytes JMP 00000001000b012a
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                     000000007723088c 5 bytes JMP 00000001000b0758
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                               00000000772308a4 5 bytes JMP 00000001000b0676
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                   0000000077230df4 5 bytes JMP 00000001000b03d0
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtSetContextThread                                                                                                             0000000077231920 5 bytes JMP 00000001000b0594
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                         0000000077231be4 5 bytes JMP 00000001000b083a
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\ntdll.dll!NtSuspendThread                                                                                                                0000000077231d70 5 bytes JMP 00000001000b020c
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\syswow64\USER32.dll!RecordShutdownReason + 882                                                                                                    0000000075551492 7 bytes JMP 00000001000c059e
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206                                                                                               00000000755f524f 7 bytes JMP 00000001000b0f52
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380                                                                                                   00000000755f53d0 7 bytes JMP 00000001000c0210
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149                                                                                                  00000000755f5677 1 byte JMP 00000001000c0048
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151                                                                                                  00000000755f5679 5 bytes {JMP 0xffffffff8aaca9d1}
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\sechost.dll!CreateServiceA + 542                                                                                                         00000000755f589a 7 bytes JMP 00000001000b0ca6
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\sechost.dll!CreateServiceW + 382                                                                                                         00000000755f5a1d 7 bytes JMP 00000001000c03d8
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370                                                                                                    00000000755f5c9b 7 bytes JMP 00000001000c012c
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\sechost.dll!ControlServiceExA + 231                                                                                                      00000000755f5d87 7 bytes JMP 00000001000c02f4
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123                                                                                     00000000755f7240 7 bytes JMP 00000001000b0e6e
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                      0000000074ff1465 2 bytes [FF, 74]
.text     C:\Program Files (x86)\Pass-Widget-soft\PassWidget_wd.exe[3856] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                     0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\Program Files (x86)\ACD Systems\ACDSee Pro\5.0\ACDSeeProInTouch2.exe[3964] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                        0000000074ff1465 2 bytes [FF, 74]
.text     C:\Program Files (x86)\ACD Systems\ACDSee Pro\5.0\ACDSeeProInTouch2.exe[3964] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                       0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                            000000007722fb28 5 bytes JMP 00000001036c0594
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\kernel32.dll!CreateEventW + 19                                                                                                               0000000075791821 7 bytes JMP 00000001036c020c
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\kernel32.dll!CreateDirectoryW + 257                                                                                                          00000000757942fa 7 bytes JMP 00000001036c02ee
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\kernel32.dll!LoadLibraryA + 81                                                                                                               00000000757949c8 7 bytes JMP 00000001036c03d0
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\kernel32.dll!VirtualFreeEx + 19                                                                                                              00000000757ad973 7 bytes JMP 00000001036c0048
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\kernel32.dll!ExpandEnvironmentStringsA + 92                                                                                                  00000000757aeb2d 7 bytes JMP 00000001036c012a
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\KERNELBASE.dll!CreateRemoteThreadEx                                                                                                          0000000075ca3e6b 5 bytes JMP 00000001036c04b2
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\ole32.dll!CoCreateInstance + 62                                                                                                              0000000075669d49 7 bytes JMP 00000001036c0758
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\urlmon.dll!URLDownloadToCacheFileA + 322                                                                                                     00000000753629df 7 bytes JMP 00000001036c0d86
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                          0000000074ff1465 2 bytes [FF, 74]
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[8000] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                         0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe[8084] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                          0000000074ff1465 2 bytes [FF, 74]
.text     C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe[8084] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                         0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                            000000007722fb28 5 bytes JMP 0000000106160594
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!CreateEventW + 19                                                                                                               0000000075791821 4 bytes JMP 000000010616020c
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!VirtualAlloc                                                                                                                    0000000075791826 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!CreateDirectoryW + 257                                                                                                          00000000757942fa 4 bytes JMP 00000001061602ee
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!VirtualProtect                                                                                                                  00000000757942ff 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!LoadLibraryA + 81                                                                                                               00000000757949c8 4 bytes JMP 00000001061603d0
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!HeapCreate                                                                                                                      00000000757949cd 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!VirtualFreeEx + 19                                                                                                              00000000757ad973 4 bytes JMP 0000000106160048
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!WriteProcessMemory                                                                                                              00000000757ad978 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!ExpandEnvironmentStringsA + 92                                                                                                  00000000757aeb2d 4 bytes JMP 000000010616012a
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\kernel32.dll!SetProcessDEPPolicy                                                                                                             00000000757aeb32 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\KERNELBASE.dll!CreateRemoteThreadEx                                                                                                          0000000075ca3e6b 5 bytes JMP 00000001061604b2
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\ole32.dll!CoGetClassObject                                                                                                                   00000000756554ad 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\ole32.dll!CoCreateInstance + 62                                                                                                              0000000075669d49 4 bytes JMP 0000000106160758
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\ole32.dll!CoCreateInstanceEx                                                                                                                 0000000075669d4e 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\urlmon.dll!URLDownloadToFileW                                                                                                                00000000752e5512 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\urlmon.dll!URLDownloadToCacheFileW                                                                                                           0000000075303627 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\urlmon.dll!URLDownloadToCacheFileA                                                                                                           000000007536289d 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\urlmon.dll!URLDownloadToCacheFileA + 322                                                                                                     00000000753629df 4 bytes JMP 0000000106160d86
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\urlmon.dll!URLDownloadToFileA                                                                                                                00000000753629e4 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                          0000000074ff1465 2 bytes [FF, 74]
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5948] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                         0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                           000000007722fb28 5 bytes JMP 0000000106780594
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!CreateEventW + 19                                                                                                              0000000075791821 4 bytes JMP 000000010678020c
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!VirtualAlloc                                                                                                                   0000000075791826 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!CreateDirectoryW + 257                                                                                                         00000000757942fa 4 bytes JMP 00000001067802ee
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!VirtualProtect                                                                                                                 00000000757942ff 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!LoadLibraryA + 81                                                                                                              00000000757949c8 4 bytes JMP 00000001067803d0
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!HeapCreate                                                                                                                     00000000757949cd 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!VirtualFreeEx + 19                                                                                                             00000000757ad973 4 bytes JMP 0000000106780048
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!WriteProcessMemory                                                                                                             00000000757ad978 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!ExpandEnvironmentStringsA + 92                                                                                                 00000000757aeb2d 4 bytes JMP 000000010678012a
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\kernel32.dll!SetProcessDEPPolicy                                                                                                            00000000757aeb32 2 bytes {JMP 0xfffffffffffffffb}
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\KERNELBASE.dll!CreateRemoteThreadEx                                                                                                         0000000075ca3e6b 5 bytes JMP 00000001067804b2
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\ole32.dll!CoCreateInstance + 62                                                                                                             0000000075669d49 7 bytes JMP 0000000106780758
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\urlmon.dll!URLDownloadToCacheFileA + 322                                                                                                    00000000753629df 7 bytes JMP 0000000106780d86
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                         0000000074ff1465 2 bytes [FF, 74]
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10372] C:\windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                        0000000074ff14bb 2 bytes [FF, 74]
.text     ...                                                                                                                                                                                                                          * 2

---- Threads - GMER 2.1 ----

Thread    C:\windows\SysWOW64\ntdll.dll [3620:3624]                                                                                                                                                                                    0000000000401c24
Thread    C:\windows\SysWOW64\ntdll.dll [3620:4108]                                                                                                                                                                                    000000007322e54e
Thread    C:\windows\SysWOW64\ntdll.dll [3620:2876]                                                                                                                                                                                    000000005eff0e41
---- Processes - GMER 2.1 ----

Process   C:\Users\*****-*****\AppData\Roaming\ProtectExtension\protect\ProtectExtension.exe (*** suspicious ***) @ C:\Users\*****-*****\AppData\Roaming\ProtectExtension\protect\ProtectExtension.exe [2404](2014-02-21 17:42:02)       0000000000f00000
Library   C:\Users\*****-*****\AppData\Roaming\ProtectExtension\protect\utilsDll.dll (*** suspicious ***) @ C:\Users\*****-*****\AppData\Roaming\ProtectExtension\protect\ProtectExtension.exe [2404](2014-02-04 09:34:08)               000000006e490000
Library   C:\Users\*****-*****\AppData\Roaming\ProtectExtension\protect\Interop.Shell32.dll (*** suspicious ***) @ C:\Users\*****-*****\AppData\Roaming\ProtectExtension\protect\ProtectExtension.exe [2404] ( / )(2014-02-18 16:41:28)  000000006e2d0000
Library   C:\Users\*****-*****\AppData\Roaming\BaseFlash\IE\BaseFlash.dll (*** suspicious ***) @ C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE [8000](2014-03-03 22:51:15)                                                      0000000066c30000
Library   C:\Users\*****-*****\AppData\Roaming\BaseFlash\IE\BaseFlash.dll (*** suspicious ***) @ C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE [5948](2014-03-03 22:51:15)                                                      0000000066c30000
Library   C:\Users\*****-*****\AppData\Roaming\BaseFlash\IE\BaseFlash.dll (*** suspicious ***) @ C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE [10372](2014-03-03 22:51:15)                                                     0000000066c30000

---- EOF - GMER 2.1 ----
         
 
--- --- ---
hallo schrauber
Danke für den Feedback. Ich hoffe, ich habe es jetzt begriffen, wie die Posts funktionieren. Muss mich zuerst mit den Tools und der Sprache zurecht finden.
Gruss, saltorico

Hi,
Darf ich auf dem PC noch arbeiten, oder soll der stillgelegt werden, bis das Problem behoben ist?
Gruss, saltorico

Hallo,
Ich musste gestern unseren IT-Support einschalten, weil die Arbeit nicht mehr möglich war. Die Malware scheint entfernt zu sein, hoffe ich zumindest.
Wenn ich sehe, wie auf der TB die Post abgeht, erübrigt sich die Frage, ob ich die Scans nochmals durchführen soll und ihr diese freundlicherweise checkt

Letzte Fragen:
- Soll ich den Defogger wieder re-enablen?
- Welchen Scanner empfihelt ihr für die regelmässige malware-Kontrolle?

Danke für euren Support!
__________________
Alt 08.03.2014, 12:21   #4
schrauber
/// the machine
/// TB-Ausbilder
 
Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung - Standard

Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung


hi,

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung
anweisung, diverse, entfernen, erhalte, euren, feedback, fehlermeldung, hartnäckig, installation, installiert, interne, internet-explorer, löschen, meldung, norton, programm, programme, schlägt, seite, seiten, server, service, unbedingt, windows, windows 7, zugreifen


« Verdacht auf Trojaner- wie kann ich ihn erkennen? | Vista PC langsam, spielt Videos nicht ab... »


Ähnliche Themen: Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung


  1. Windows 8.1 Browser langsam und Videos ruckeln nach "optimierung" durch einen Freund
    Log-Analyse und Auswertung - 17.03.2015 (9)
  2. Redirect auf Werbeseiten im Internet explorer mit Windows 8.1
    Log-Analyse und Auswertung - 17.02.2015 (3)
  3. Windows 7 Internet Explorer langsam Internet Explorer reagiert lahm oder gar nicht
    Log-Analyse und Auswertung - 28.05.2014 (15)
  4. Windows 8# Startseite im Internet Explorer
    Log-Analyse und Auswertung - 30.03.2014 (13)
  5. Internet - Hyperlinks doppelt grün unterstrichen - falsche Seiten mit Werbebanner erscheinen
    Alles rund um Windows - 22.03.2014 (19)
  6. Mehrere Wörter erscheinen im Firefox und Explorer unterstrichen als Link
    Plagegeister aller Art und deren Bekämpfung - 11.03.2014 (23)
  7. Bei Windows7 start - 2 mal Internet Explorer und 1 mal Windows Explorer "Desktop Weg"
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (11)
  8. Probleme mit internet explorer: C:\Programm files\Internet Explorer\iexplorer.exe ist keine Win 32 A
    Log-Analyse und Auswertung - 19.09.2011 (1)
  9. AW: Windows 7 Internet Explorer öffnet Werbung
    Mülltonne - 07.03.2011 (0)
  10. Internet Explorer 2 x im Taskmanager und Internet-Explorer + System furchtbar langsam
    Log-Analyse und Auswertung - 24.09.2010 (7)
  11. Windows Internet Explorer startet von selbst
    Log-Analyse und Auswertung - 02.02.2010 (4)
  12. Windows Internet Explorer bereitgestellt von 1&1 Internet AG
    Log-Analyse und Auswertung - 06.05.2009 (2)
  13. internet geht zäh, internet windows explorer spinnt
    Log-Analyse und Auswertung - 20.11.2008 (20)
  14. Probs mit Windows und Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 03.09.2006 (3)
  15. Internet-Seiten/pop-ups erscheinen ungewollt (s0pu0a79ed.dll)
    Plagegeister aller Art und deren Bekämpfung - 15.06.2006 (11)
  16. Windows Explorer verlangt Zugriff auf Internet
    Alles rund um Windows - 22.07.2005 (1)
  17. Versuchter Internet-Access vom Windows-Explorer
    Plagegeister aller Art und deren Bekämpfung - 22.10.2003 (12)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung - Ich wollte von Sony das Programm PMB downloaden. Ich bin dabei auf eine Seite geraten, die mir versprochen hat, die Nachfolgerin des PMB-Programms anzubieten. Ich habe das Programm installiert und - Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung...
Archiv
Du betrachtest: Windows 7: Im Internet-Explorer erscheinen hartnäckig Werbeboxen für PC-Optimierung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131