Kennt jemand azfucib.exe?

ampuriabrava · 16.04.2014, 20:35

Super - mache ich sofort wenn ich nachmittags nach hause komme.. Die Logfiles der Funde poste ich dann auch - sind aber rudimentär, da ich die Scans nach Erhalt Deiner Anweisungen abgebrochen habe - Avira ist also nicht vollständig drübergelaufen. hatte auch probleme: Nach knapp 2 Stunden hatt er erst 7 % gescannt - warum auch immer.

Noch eine Frage: in der ADDITION-Text befand sich noch folgende Passage, in der das Wort "azfucib" mehrfach auftaucht. Muss das nicht gefixt werden?

Bin Laie und das hat mich noch etwas nervös gemacht ;o)

Code:

ATTFilter

==================== Event log errors: =========================

Application errors:
==================
Error: (04/15/2014 09:07:15 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: azfucib.exe, Version: 2304.0.33751.58760, Zeitstempel: 0x5349a356
Name des fehlerhaften Moduls: Flash.ocx, Version: 13.0.0.182, Zeitstempel: 0x53339b05
Ausnahmecode: 0xc0000005
Fehleroffset: 0x003a7429
ID des fehlerhaften Prozesses: 0x16c4
Startzeit der fehlerhaften Anwendung: 0xazfucib.exe0
Pfad der fehlerhaften Anwendung: azfucib.exe1
Pfad des fehlerhaften Moduls: azfucib.exe2
Berichtskennung: azfucib.exe3
Vollständiger Name des fehlerhaften Pakets: azfucib.exe4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: azfucib.exe5

Werde am nachmittag Deine Aufträge ausführen und dann das Gesamtergebnis posten.

Hallo Jonas,

jeder Scan ein Treffer ;o( Hoffentlich ist das noch zu retten.

Hier die Ergebnisse:
----------------------------------------------------------------------------------
Schritt 0: Die 3 Avira-Logs:

1. Avira

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 16. April 2014  00:21


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Antivirus Free
Seriennummer   : 0000149996-AVHOE-0000001
Plattform      : Windows 8.1
Windowsversion : (plain)  [6.2.9200]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : CHRISTA

Versionsinformationen:
BUILD.DAT      : 14.0.3.350     56624 Bytes  25.02.2014 11:41:00
AVSCAN.EXE     : 14.0.3.332   1058384 Bytes  20.02.2014 17:44:31
AVSCANRC.DLL   : 14.0.2.180     62008 Bytes  19.12.2013 04:38:25
LUKE.DLL       : 14.0.3.336     65616 Bytes  20.02.2014 17:44:52
AVSCPLR.DLL    : 14.0.3.336    124496 Bytes  20.02.2014 17:44:31
AVREG.DLL      : 14.0.3.336    250448 Bytes  20.02.2014 17:44:25
avlode.dll     : 14.0.3.336    544848 Bytes  20.02.2014 17:44:23
avlode.rdf     : 14.0.4.14      63648 Bytes  15.04.2014 22:19:31
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 15:30:40
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 15:30:44
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 15:30:47
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 15:30:50
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 15:30:54
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 10:31:25
VBASE006.VDF   : 7.11.139.38 15708672 Bytes  27.03.2014 19:41:45
VBASE007.VDF   : 7.11.139.39     2048 Bytes  27.03.2014 19:41:45
VBASE008.VDF   : 7.11.139.40     2048 Bytes  27.03.2014 19:41:46
VBASE009.VDF   : 7.11.139.41     2048 Bytes  27.03.2014 19:41:46
VBASE010.VDF   : 7.11.139.42     2048 Bytes  27.03.2014 19:41:46
VBASE011.VDF   : 7.11.139.43     2048 Bytes  27.03.2014 19:41:46
VBASE012.VDF   : 7.11.139.44     2048 Bytes  27.03.2014 19:41:46
VBASE013.VDF   : 7.11.139.45     2048 Bytes  27.03.2014 19:41:46
VBASE014.VDF   : 7.11.139.171   111104 Bytes  28.03.2014 19:41:46
VBASE015.VDF   : 7.11.140.23   150016 Bytes  30.03.2014 19:41:46
VBASE016.VDF   : 7.11.140.143   222720 Bytes  01.04.2014 16:37:42
VBASE017.VDF   : 7.11.140.235   144384 Bytes  03.04.2014 16:54:24
VBASE018.VDF   : 7.11.141.81   193536 Bytes  05.04.2014 10:11:07
VBASE019.VDF   : 7.11.141.203   241152 Bytes  08.04.2014 19:12:35
VBASE020.VDF   : 7.11.142.83   144896 Bytes  10.04.2014 18:41:55
VBASE021.VDF   : 7.11.142.221   171008 Bytes  12.04.2014 18:41:55
VBASE022.VDF   : 7.11.143.135   247296 Bytes  15.04.2014 22:19:31
VBASE023.VDF   : 7.11.143.136     2048 Bytes  15.04.2014 22:19:31
VBASE024.VDF   : 7.11.143.137     2048 Bytes  15.04.2014 22:19:31
VBASE025.VDF   : 7.11.143.138     2048 Bytes  15.04.2014 22:19:32
VBASE026.VDF   : 7.11.143.139     2048 Bytes  15.04.2014 22:19:32
VBASE027.VDF   : 7.11.143.140     2048 Bytes  15.04.2014 22:19:32
VBASE028.VDF   : 7.11.143.141     2048 Bytes  15.04.2014 22:19:32
VBASE029.VDF   : 7.11.143.142     2048 Bytes  15.04.2014 22:19:32
VBASE030.VDF   : 7.11.143.143     2048 Bytes  15.04.2014 22:19:32
VBASE031.VDF   : 7.11.143.184   185344 Bytes  15.04.2014 22:19:33
Engineversion  : 8.3.18.4  
AEVDF.DLL      : 8.3.0.4       118976 Bytes  20.03.2014 21:38:02
AESCRIPT.DLL   : 8.1.4.200     528584 Bytes  13.04.2014 18:41:54
AESCN.DLL      : 8.3.0.2       135360 Bytes  20.03.2014 21:38:02
AESBX.DLL      : 8.2.20.6     1331575 Bytes  14.01.2014 19:27:10
AERDL.DLL      : 8.2.0.138     704888 Bytes  03.12.2013 22:35:45
AEPACK.DLL     : 8.4.0.16      778440 Bytes  02.04.2014 16:37:42
AEOFFICE.DLL   : 8.3.0.2       201084 Bytes  16.03.2014 23:24:14
AEHEUR.DLL     : 8.1.4.1014   6664392 Bytes  13.04.2014 18:41:54
AEHELP.DLL     : 8.3.0.0       274808 Bytes  11.03.2014 21:38:45
AEGEN.DLL      : 8.1.7.24      442743 Bytes  11.03.2014 21:38:45
AEEXP.DLL      : 8.4.1.258     512376 Bytes  16.03.2014 23:24:15
AEEMU.DLL      : 8.1.3.2       393587 Bytes  07.08.2013 15:31:02
AECORE.DLL     : 8.3.0.6       241864 Bytes  19.03.2014 21:38:00
AEBB.DLL       : 8.1.1.4        53619 Bytes  07.08.2013 15:31:02
AVWINLL.DLL    : 14.0.3.252     23608 Bytes  20.02.2014 17:44:00
AVPREF.DLL     : 14.0.3.252     48696 Bytes  20.02.2014 17:44:24
AVREP.DLL      : 14.0.3.252    175672 Bytes  20.02.2014 17:44:26
AVARKT.DLL     : 14.0.3.336    256080 Bytes  20.02.2014 17:44:02
AVEVTLOG.DLL   : 14.0.3.336    165968 Bytes  20.02.2014 17:44:10
SQLITE3.DLL    : 3.7.0.1       394824 Bytes  07.08.2013 15:31:57
AVSMTP.DLL     : 14.0.3.252     60472 Bytes  20.02.2014 17:44:31
NETNT.DLL      : 14.0.3.252     13368 Bytes  20.02.2014 17:44:52
RCIMAGE.DLL    : 14.0.3.260   4979256 Bytes  20.02.2014 17:44:00
RCTEXT.DLL     : 14.0.3.282     72760 Bytes  20.02.2014 17:44:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_534da97e\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: Reparieren
Sekundäre Aktion......................: Quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig

Beginn des Suchlaufs: Mittwoch, 16. April 2014  00:21
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2680977331-1521156086-735915538-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2680977331-1521156086-735915538-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2680977331-1521156086-735915538-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2680977331-1521156086-735915538-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fuvdjjp> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2680977331-1521156086-735915538-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Erorsya> konnte nicht entfernt werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '187' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhostex.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAIO Gate.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '233' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'adminservice.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'dashost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'HeciServer.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jhi_service.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ath_CoexAgent.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkClient.EXE' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVBg64.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Taskmgr.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SYNTPHELPER.EXE' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'azfucib.exe' - '65' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\Ralf\AppData\Roaming\Xabeirry\azfucib.exe>
  [FUND]      Ist das Trojanische Pferd TR/Crypt.Xpack.39908
  [HINWEIS]   Prozess 'azfucib.exe' wurde beendet
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78b92778.qua' verschoben!
Durchsuche Prozess 'ISBMgr.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'ismagent.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc_P2G8.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtvStack.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'helppane.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAIOUpdt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'VUAgent.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'RIconMan.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'IntelMeFWService.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCPerfService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'listener.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'vim.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'vim.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCSystemTray.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'azfucib.exe' - '118' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\Ralf\AppData\Roaming\Xabeirry\azfucib.exe>
  [FUND]      Ist das Trojanische Pferd TR/Crypt.Xpack.39908
  [WARNUNG]   Der Prozess <azfucib.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [5]: Zugriff verweigert
  [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
  [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
  [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]   Fehler in der ARK Library
Durchsuche Prozess 'VCService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCAgent.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'TiWorker.exe' - '47' Modul(e) wurden durchsucht


Ende des Suchlaufs: Mittwoch, 16. April 2014  00:23
Benötigte Zeit: 02:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   2509 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   2506 Dateien ohne Befall
      1 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise

2. Avira-Scan:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 16. April 2014  00:26


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Antivirus Free
Seriennummer   : 0000149996-AVHOE-0000001
Plattform      : Windows 8.1
Windowsversion : (plain)  [6.2.9200]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : CHRISTA

Versionsinformationen:
BUILD.DAT      : 14.0.3.350     56624 Bytes  25.02.2014 11:41:00
AVSCAN.EXE     : 14.0.3.332   1058384 Bytes  20.02.2014 17:44:31
AVSCANRC.DLL   : 14.0.2.180     62008 Bytes  19.12.2013 04:38:25
LUKE.DLL       : 14.0.3.336     65616 Bytes  20.02.2014 17:44:52
AVSCPLR.DLL    : 14.0.3.336    124496 Bytes  20.02.2014 17:44:31
AVREG.DLL      : 14.0.3.336    250448 Bytes  20.02.2014 17:44:25
avlode.dll     : 14.0.3.336    544848 Bytes  20.02.2014 17:44:23
avlode.rdf     : 14.0.4.14      63648 Bytes  15.04.2014 22:19:31
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 15:30:40
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 15:30:44
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 15:30:47
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 15:30:50
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 15:30:54
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 10:31:25
VBASE006.VDF   : 7.11.139.38 15708672 Bytes  27.03.2014 19:41:45
VBASE007.VDF   : 7.11.139.39     2048 Bytes  27.03.2014 19:41:45
VBASE008.VDF   : 7.11.139.40     2048 Bytes  27.03.2014 19:41:46
VBASE009.VDF   : 7.11.139.41     2048 Bytes  27.03.2014 19:41:46
VBASE010.VDF   : 7.11.139.42     2048 Bytes  27.03.2014 19:41:46
VBASE011.VDF   : 7.11.139.43     2048 Bytes  27.03.2014 19:41:46
VBASE012.VDF   : 7.11.139.44     2048 Bytes  27.03.2014 19:41:46
VBASE013.VDF   : 7.11.139.45     2048 Bytes  27.03.2014 19:41:46
VBASE014.VDF   : 7.11.139.171   111104 Bytes  28.03.2014 19:41:46
VBASE015.VDF   : 7.11.140.23   150016 Bytes  30.03.2014 19:41:46
VBASE016.VDF   : 7.11.140.143   222720 Bytes  01.04.2014 16:37:42
VBASE017.VDF   : 7.11.140.235   144384 Bytes  03.04.2014 16:54:24
VBASE018.VDF   : 7.11.141.81   193536 Bytes  05.04.2014 10:11:07
VBASE019.VDF   : 7.11.141.203   241152 Bytes  08.04.2014 19:12:35
VBASE020.VDF   : 7.11.142.83   144896 Bytes  10.04.2014 18:41:55
VBASE021.VDF   : 7.11.142.221   171008 Bytes  12.04.2014 18:41:55
VBASE022.VDF   : 7.11.143.135   247296 Bytes  15.04.2014 22:19:31
VBASE023.VDF   : 7.11.143.136     2048 Bytes  15.04.2014 22:19:31
VBASE024.VDF   : 7.11.143.137     2048 Bytes  15.04.2014 22:19:31
VBASE025.VDF   : 7.11.143.138     2048 Bytes  15.04.2014 22:19:32
VBASE026.VDF   : 7.11.143.139     2048 Bytes  15.04.2014 22:19:32
VBASE027.VDF   : 7.11.143.140     2048 Bytes  15.04.2014 22:19:32
VBASE028.VDF   : 7.11.143.141     2048 Bytes  15.04.2014 22:19:32
VBASE029.VDF   : 7.11.143.142     2048 Bytes  15.04.2014 22:19:32
VBASE030.VDF   : 7.11.143.143     2048 Bytes  15.04.2014 22:19:32
VBASE031.VDF   : 7.11.143.184   185344 Bytes  15.04.2014 22:19:33
Engineversion  : 8.3.18.4  
AEVDF.DLL      : 8.3.0.4       118976 Bytes  20.03.2014 21:38:02
AESCRIPT.DLL   : 8.1.4.200     528584 Bytes  13.04.2014 18:41:54
AESCN.DLL      : 8.3.0.2       135360 Bytes  20.03.2014 21:38:02
AESBX.DLL      : 8.2.20.6     1331575 Bytes  14.01.2014 19:27:10
AERDL.DLL      : 8.2.0.138     704888 Bytes  03.12.2013 22:35:45
AEPACK.DLL     : 8.4.0.16      778440 Bytes  02.04.2014 16:37:42
AEOFFICE.DLL   : 8.3.0.2       201084 Bytes  16.03.2014 23:24:14
AEHEUR.DLL     : 8.1.4.1014   6664392 Bytes  13.04.2014 18:41:54
AEHELP.DLL     : 8.3.0.0       274808 Bytes  11.03.2014 21:38:45
AEGEN.DLL      : 8.1.7.24      442743 Bytes  11.03.2014 21:38:45
AEEXP.DLL      : 8.4.1.258     512376 Bytes  16.03.2014 23:24:15
AEEMU.DLL      : 8.1.3.2       393587 Bytes  07.08.2013 15:31:02
AECORE.DLL     : 8.3.0.6       241864 Bytes  19.03.2014 21:38:00
AEBB.DLL       : 8.1.1.4        53619 Bytes  07.08.2013 15:31:02
AVWINLL.DLL    : 14.0.3.252     23608 Bytes  20.02.2014 17:44:00
AVPREF.DLL     : 14.0.3.252     48696 Bytes  20.02.2014 17:44:24
AVREP.DLL      : 14.0.3.252    175672 Bytes  20.02.2014 17:44:26
AVARKT.DLL     : 14.0.3.336    256080 Bytes  20.02.2014 17:44:02
AVEVTLOG.DLL   : 14.0.3.336    165968 Bytes  20.02.2014 17:44:10
SQLITE3.DLL    : 3.7.0.1       394824 Bytes  07.08.2013 15:31:57
AVSMTP.DLL     : 14.0.3.252     60472 Bytes  20.02.2014 17:44:31
NETNT.DLL      : 14.0.3.252     13368 Bytes  20.02.2014 17:44:52
RCIMAGE.DLL    : 14.0.3.260   4979256 Bytes  20.02.2014 17:44:00
RCTEXT.DLL     : 14.0.3.282     72760 Bytes  20.02.2014 17:44:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_534db1eb\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: Reparieren
Sekundäre Aktion......................: Quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig

Beginn des Suchlaufs: Mittwoch, 16. April 2014  00:26

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '183' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhostex.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAIO Gate.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '202' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'adminservice.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'dashost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'HeciServer.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jhi_service.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ath_CoexAgent.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkClient.EXE' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVBg64.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ismagent.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'SYNTPHELPER.EXE' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc_P2G8.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Taskmgr.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipmGui.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtvStack.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Ralf\AppData\Roaming\Xabeirry\azfucib.exe'
C:\Users\Ralf\AppData\Roaming\Xabeirry\azfucib.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.Xpack.39908
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56e926cb.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 16. April 2014  00:27
Benötigte Zeit: 00:25 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    850 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    849 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise

3. Avira-Scan:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 16. April 2014  00:33


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Antivirus Free
Seriennummer   : 0000149996-AVHOE-0000001
Plattform      : Windows 8.1
Windowsversion : (plain)  [6.2.9200]
Boot Modus     : Normal gebootet
Benutzername   : Christa
Computername   : CHRISTA

Versionsinformationen:
BUILD.DAT      : 14.0.3.350     56624 Bytes  25.02.2014 11:41:00
AVSCAN.EXE     : 14.0.3.332   1058384 Bytes  20.02.2014 17:44:31
AVSCANRC.DLL   : 14.0.2.180     62008 Bytes  19.12.2013 04:38:25
LUKE.DLL       : 14.0.3.336     65616 Bytes  20.02.2014 17:44:52
AVSCPLR.DLL    : 14.0.3.336    124496 Bytes  20.02.2014 17:44:31
AVREG.DLL      : 14.0.3.336    250448 Bytes  20.02.2014 17:44:25
avlode.dll     : 14.0.3.336    544848 Bytes  20.02.2014 17:44:23
avlode.rdf     : 14.0.4.14      63648 Bytes  15.04.2014 22:19:31
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 15:30:40
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 15:30:44
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 15:30:47
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 15:30:50
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 15:30:54
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 10:31:25
VBASE006.VDF   : 7.11.139.38 15708672 Bytes  27.03.2014 19:41:45
VBASE007.VDF   : 7.11.139.39     2048 Bytes  27.03.2014 19:41:45
VBASE008.VDF   : 7.11.139.40     2048 Bytes  27.03.2014 19:41:46
VBASE009.VDF   : 7.11.139.41     2048 Bytes  27.03.2014 19:41:46
VBASE010.VDF   : 7.11.139.42     2048 Bytes  27.03.2014 19:41:46
VBASE011.VDF   : 7.11.139.43     2048 Bytes  27.03.2014 19:41:46
VBASE012.VDF   : 7.11.139.44     2048 Bytes  27.03.2014 19:41:46
VBASE013.VDF   : 7.11.139.45     2048 Bytes  27.03.2014 19:41:46
VBASE014.VDF   : 7.11.139.171   111104 Bytes  28.03.2014 19:41:46
VBASE015.VDF   : 7.11.140.23   150016 Bytes  30.03.2014 19:41:46
VBASE016.VDF   : 7.11.140.143   222720 Bytes  01.04.2014 16:37:42
VBASE017.VDF   : 7.11.140.235   144384 Bytes  03.04.2014 16:54:24
VBASE018.VDF   : 7.11.141.81   193536 Bytes  05.04.2014 10:11:07
VBASE019.VDF   : 7.11.141.203   241152 Bytes  08.04.2014 19:12:35
VBASE020.VDF   : 7.11.142.83   144896 Bytes  10.04.2014 18:41:55
VBASE021.VDF   : 7.11.142.221   171008 Bytes  12.04.2014 18:41:55
VBASE022.VDF   : 7.11.143.135   247296 Bytes  15.04.2014 22:19:31
VBASE023.VDF   : 7.11.143.136     2048 Bytes  15.04.2014 22:19:31
VBASE024.VDF   : 7.11.143.137     2048 Bytes  15.04.2014 22:19:31
VBASE025.VDF   : 7.11.143.138     2048 Bytes  15.04.2014 22:19:32
VBASE026.VDF   : 7.11.143.139     2048 Bytes  15.04.2014 22:19:32
VBASE027.VDF   : 7.11.143.140     2048 Bytes  15.04.2014 22:19:32
VBASE028.VDF   : 7.11.143.141     2048 Bytes  15.04.2014 22:19:32
VBASE029.VDF   : 7.11.143.142     2048 Bytes  15.04.2014 22:19:32
VBASE030.VDF   : 7.11.143.143     2048 Bytes  15.04.2014 22:19:32
VBASE031.VDF   : 7.11.143.184   185344 Bytes  15.04.2014 22:19:33
Engineversion  : 8.3.18.4  
AEVDF.DLL      : 8.3.0.4       118976 Bytes  20.03.2014 21:38:02
AESCRIPT.DLL   : 8.1.4.200     528584 Bytes  13.04.2014 18:41:54
AESCN.DLL      : 8.3.0.2       135360 Bytes  20.03.2014 21:38:02
AESBX.DLL      : 8.2.20.6     1331575 Bytes  14.01.2014 19:27:10
AERDL.DLL      : 8.2.0.138     704888 Bytes  03.12.2013 22:35:45
AEPACK.DLL     : 8.4.0.16      778440 Bytes  02.04.2014 16:37:42
AEOFFICE.DLL   : 8.3.0.2       201084 Bytes  16.03.2014 23:24:14
AEHEUR.DLL     : 8.1.4.1014   6664392 Bytes  13.04.2014 18:41:54
AEHELP.DLL     : 8.3.0.0       274808 Bytes  11.03.2014 21:38:45
AEGEN.DLL      : 8.1.7.24      442743 Bytes  11.03.2014 21:38:45
AEEXP.DLL      : 8.4.1.258     512376 Bytes  16.03.2014 23:24:15
AEEMU.DLL      : 8.1.3.2       393587 Bytes  07.08.2013 15:31:02
AECORE.DLL     : 8.3.0.6       241864 Bytes  19.03.2014 21:38:00
AEBB.DLL       : 8.1.1.4        53619 Bytes  07.08.2013 15:31:02
AVWINLL.DLL    : 14.0.3.252     23608 Bytes  20.02.2014 17:44:00
AVPREF.DLL     : 14.0.3.252     48696 Bytes  20.02.2014 17:44:24
AVREP.DLL      : 14.0.3.252    175672 Bytes  20.02.2014 17:44:26
AVARKT.DLL     : 14.0.3.336    256080 Bytes  20.02.2014 17:44:02
AVEVTLOG.DLL   : 14.0.3.336    165968 Bytes  20.02.2014 17:44:10
SQLITE3.DLL    : 3.7.0.1       394824 Bytes  07.08.2013 15:31:57
AVSMTP.DLL     : 14.0.3.252     60472 Bytes  20.02.2014 17:44:31
NETNT.DLL      : 14.0.3.252     13368 Bytes  20.02.2014 17:44:52
RCIMAGE.DLL    : 14.0.3.260   4979256 Bytes  20.02.2014 17:44:00
RCTEXT.DLL     : 14.0.3.282     72760 Bytes  20.02.2014 17:44:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig

Beginn des Suchlaufs: Mittwoch, 16. April 2014  00:33

Der Suchlauf nach versteckten Objekten wird begonnen.
Fehler in der ARK Library

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '189' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhostex.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAIO Gate.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '213' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'adminservice.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'dashost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'HeciServer.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jhi_service.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ath_CoexAgent.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkClient.EXE' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVBg64.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'ismagent.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'SYNTPHELPER.EXE' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc_P2G8.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtvStack.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAIOUpdt.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'VUAgent.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'RIconMan.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'IntelMeFWService.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCPerfService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'listener.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'vim.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'vim.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCSystemTray.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '64' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\ProgramData\fuvdjjp.dat
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.56721

Die Registry wurde durchsucht ( '1230' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\swapfile.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2680977331-1521156086-735915538-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fuvdjjp> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2680977331-1521156086-735915538-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fuvdjjp> wurde erfolgreich repariert.
C:\ProgramData\fuvdjjp.dat
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.56721
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '560b1507.qua' verschoben!
  [HINWEIS]   Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fuvdjjp> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2680977331-1521156086-735915538-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fuvdjjp> wurde erfolgreich repariert.


Ende des Suchlaufs: Mittwoch, 16. April 2014  00:47
Benötigte Zeit: 13:41 Minute(n)

Der Suchlauf wurde abgebrochen!

   4637 Verzeichnisse wurden überprüft
 137049 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 137047 Dateien ohne Befall
   1365 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise
     74 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

-----------------------------------------------------------------------

Schritt 1:

Den Google-Updater habe ich weder in der Liste der zu deinstallierenden Programme (Systemsteuerung >Programme deinstallieren), noch im Explorer gefunden.

------------------------------------------------------------------------

Schritt 2:

Fixlog.txt:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 16-04-2014 01
Ran by Christa at 2014-04-16 17:52:44 Run:1
Running from C:\Users\Ralf\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
HKU\S-1-5-21-2680977331-1521156086-735915538-1001\...\Run: [fuvdjjp] => regsvr32.exe "C:\ProgramData\fuvdjjp.dat"
2014-04-15 20:43 - 2014-04-16 00:47 - 00354928 _____ (Microsoft Corporation) C:\ProgramData\fuvdjjp.dat
2014-04-15 20:43 - 2014-04-16 00:27 - 00000000 ____D () C:\Users\Ralf\AppData\Roaming\Xabeirry
2014-04-15 20:43 - 2014-04-15 20:43 - 00000824 _____ () C:\WINDOWS\Tasks\Security Center Update - 540274268.job
URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {2EAD61D1-1392-4889-AF8B-92E287EDA029} URL = hxxp://avira.search.ask.com/web?p2=%5EB0Q%5EYYYYYY%5EYY%5EDE&gct=&itbv=12.2.2.663&o=APN11074&tpid=AVIRA-V7&apn_uid=71D48DFB-3A4D-4555-B3F3-9F9683757CEF&apn_ptnrs=%5EB0Q&apn_dtid=%5EYYYYYY%5EYY%5EDE&apn_dbr=iexplore.exe_6_10.0.9200.16384&doi=2013-08-07&trgb=ALL&q={searchTerms}&psv=
SearchScopes: HKCU - {C634593C-2B6C-4979-A96C-1521AC5B327A} URL = hxxp://rover.ebay.com/rover/1/707-37276-16609-27/4?mpre=hxxp://shop.ebay.de/?oemInLn=ieSrch-Q312&_nkw={searchTerms}
Toolbar: HKCU - No Name - {41564952-412D-5637-00A7-7A786E7484D7} -  No File
2014-04-16 00:25 - 2013-08-07 17:10 - 00000920 _____ () C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job
2014-04-16 00:15 - 2013-08-07 17:10 - 00000924 _____ () C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job
Task: {A18BD71C-C2C2-4443-8C47-03D37FBA0520} - System32\Tasks\DealPlyLiveUpdateTaskMachineCore => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe <==== ATTENTION
Task: {543F55B7-B7EA-453A-83AA-5AF6D14D6970} - System32\Tasks\DealPlyLiveUpdateTaskMachineUA => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe <==== ATTENTION
Task: {2FA13903-B7B3-4464-A5C1-0CD42A2878DC} - System32\Tasks\DealPlyUpdate => C:\Program <==== ATTENTION
         
*****************

HKU\S-1-5-21-2680977331-1521156086-735915538-1001\Software\Microsoft\Windows\CurrentVersion\Run\\fuvdjjp => Value deleted successfully.
C:\ProgramData\fuvdjjp.dat => Moved successfully.
C:\Users\Ralf\AppData\Roaming\Xabeirry => Moved successfully.
C:\WINDOWS\Tasks\Security Center Update - 540274268.job => Moved successfully.
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{D8278076-BC68-4484-9233-6E7F1628B56C} => Value deleted successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Value was restored successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2EAD61D1-1392-4889-AF8B-92E287EDA029} => Key deleted successfully.
HKCR\CLSID\{2EAD61D1-1392-4889-AF8B-92E287EDA029} => Key deleted successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C634593C-2B6C-4979-A96C-1521AC5B327A} => Key deleted successfully.
HKCR\CLSID\{C634593C-2B6C-4979-A96C-1521AC5B327A} => Key deleted successfully.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{41564952-412D-5637-00A7-7A786E7484D7} => Value deleted successfully.
HKCR\CLSID\{41564952-412D-5637-00A7-7A786E7484D7} => Key deleted successfully.
C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job => Moved successfully.
C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job => Moved successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{A18BD71C-C2C2-4443-8C47-03D37FBA0520} => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A18BD71C-C2C2-4443-8C47-03D37FBA0520} => Key deleted successfully.
C:\Windows\System32\Tasks\DealPlyLiveUpdateTaskMachineCore => Moved successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DealPlyLiveUpdateTaskMachineCore => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{543F55B7-B7EA-453A-83AA-5AF6D14D6970} => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{543F55B7-B7EA-453A-83AA-5AF6D14D6970} => Key deleted successfully.
C:\Windows\System32\Tasks\DealPlyLiveUpdateTaskMachineUA => Moved successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DealPlyLiveUpdateTaskMachineUA => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2FA13903-B7B3-4464-A5C1-0CD42A2878DC} => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2FA13903-B7B3-4464-A5C1-0CD42A2878DC} => Key deleted successfully.
C:\Windows\System32\Tasks\DealPlyUpdate => Moved successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DealPlyUpdate => Key deleted successfully.

==== End of Fixlog ====

-------------------------------------------------------------------------------

3. Schritt:

Mbam.txt:

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 16.04.2014
Suchlauf-Zeit: 18:54:27
Logdatei: mbam.txt
Administrator: Ja

Version: 2.00.1.1004
Malware Datenbank: v2014.04.16.08
Rootkit Datenbank: v2014.03.27.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Chameleon: Deaktiviert

Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: Christa

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 267931
Verstrichene Zeit: 56 Min, 31 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Shuriken: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registrierungsschlüssel: 4
PUP.Optional.DealPly.A, HKLM\SOFTWARE\CLASSES\APPID\DealPlyLive.exe, In Quarantäne, [e91710f0916f758bdf156b28679c33cd], 
PUP.Optional.DealPly.A, HKLM\SOFTWARE\WOW6432NODE\DealPlyLive, In Quarantäne, [40c02fd1f30d58a8e2144c47c93a7e82], 
PUP.Optional.DealPly.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\DealPlyLive.exe, In Quarantäne, [0bf5ce32916f8080f5ff20732bd8e020], 
PUP.Optional.DealPly.A, HKU\S-1-5-21-2680977331-1521156086-735915538-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DealPlyLive, In Quarantäne, [7c8456aa10f0f40c7d7da5eed52ec53b], 

Registrierungswerte: 0
(No malicious items detected)

Registrierungsdaten: 0
(No malicious items detected)

Ordner: 3
PUP.Optional.DealPly.A, C:\Users\Ralf\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi, In Quarantäne, [42be30d033cd9f61887485dc19e921df], 
PUP.Optional.DealPly.A, C:\Users\Ralf\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi\3.5.0.0_0, In Quarantäne, [42be30d033cd9f61887485dc19e921df], 
PUP.Optional.DealPly.A, C:\Users\Ralf\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi\3.5.0.0_0\images, In Quarantäne, [42be30d033cd9f61887485dc19e921df], 

Dateien: 6
Trojan.Spy.Zbot, C:\Users\Ralf\AppData\Local\Temp\UpdateFlashPlayer_00cc917b.exe, In Quarantäne, [2fd19f6139c740c068925fe0e719857b], 
PUP.Optional.DealPly.A, C:\Users\Ralf\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi\3.5.0.0_0\background.js, In Quarantäne, [42be30d033cd9f61887485dc19e921df], 
PUP.Optional.DealPly.A, C:\Users\Ralf\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi\3.5.0.0_0\manifest.json, In Quarantäne, [42be30d033cd9f61887485dc19e921df], 
PUP.Optional.DealPly.A, C:\Users\Ralf\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi\3.5.0.0_0\images\icon128.png, In Quarantäne, [42be30d033cd9f61887485dc19e921df], 
PUP.Optional.DealPly.A, C:\Users\Ralf\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi\3.5.0.0_0\images\icon16.png, In Quarantäne, [42be30d033cd9f61887485dc19e921df], 
PUP.Optional.DealPly.A, C:\Users\Ralf\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi\3.5.0.0_0\images\icon48.png, In Quarantäne, [42be30d033cd9f61887485dc19e921df], 

Physische Sektoren: 0
(No malicious items detected)


(end)

--------------------------------------------------------------------

4. Schritt:

Log.txt

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=7786296db1fd9b4e81e13d0f9a1b15d7
# engine=17913
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-04-16 06:55:05
# local_time=2014-04-16 08:55:05 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.2.9200 NT 
# compatibility_mode=1799 16775165 100 94 74132 21785144 66865 0
# compatibility_mode=5893 16776574 100 94 2256251 22555798 0 0
# scanned=255255
# found=3
# cleaned=0
# scan_time=5233
sh=6C61118F13FFBB90B9C6109F8F52538C412067F0 ft=1 fh=82627b5481fd72d6 vn="Win32/PSW.Papras.DE trojan" ac=I fn="C:\FRST\Quarantine\C\ProgramData\fuvdjjp.dat.xBAD"
sh=B502498B47749C49D7999E2415DFAF031ACB57B6 ft=0 fh=0000000000000000 vn="HTML/Iframe.B.Gen virus" ac=I fn="C:\Users\Ralf\AppData\Local\Microsoft\Windows\INetCache\IE\JA4BOJYF\video[1].htm"
sh=4BC7C242AF7B13FB64B7196CCDC5A204A02E5A3A ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2013-2460.EG trojan" ac=I fn="C:\Users\Ralf\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\1d0919b-54476650"

---------------------------------------------------------

5. Schritt:

FRST.txt

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 16-04-2014 02
Ran by Christa (administrator) on CHRISTA on 16-04-2014 20:58:19
Running from C:\Users\Ralf\Desktop
Windows 8.1 (X64) OS Language: German Standard
Internet Explorer Version 11
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Gate\VAIO Gate.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Qualcomm Atheros Commnucations) C:\Program Files (x86)\Bluetooth Suite\adminservice.exe
(Microsoft Corporation) C:\WINDOWS\system32\dashost.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
(Sony Corporation) C:\Program Files (x86)\Sony\PlayMemories Home\PMBDeviceInfoProvider.exe
(Sony Corporation) C:\Program Files (x86)\Sony\VAIO Control Center\VESMgr.exe
(Atheros) C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe
(Sony Corporation) C:\Program Files (x86)\Sony\VAIO Control Center\VESMgrSub.exe
(Sony Corporation) C:\Program Files (x86)\Sony\VAIO Control Center\VESMgrSub.exe
(Microsoft Corporation) C:\WINDOWS\SysWOW64\DllHost.exe
(Sony Corporation) C:\Program Files (x86)\Sony\VAIO Control Center\NetworkSetting\NetworkClient.EXE
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Sony Corporation) C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe
(Sony Corporation) C:\Program Files (x86)\Sony\PlayMemories Home\PMBVolumeWatcher.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Intel Corporation) C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Synaptics Incorporated) C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE
(CyberLink) C:\Program Files (x86)\CyberLink\Power2Go8\CLMLSvc_P2G8.exe
(Qualcomm Atheros) C:\Program Files (x86)\Bluetooth Suite\BtTray.exe
(Atheros Communications) C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Update\VAIOUpdt.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Update\VUAgent.exe
(Realsil Microelectronics Inc.) C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
() C:\Program Files\Sony\VAIO Care\VCPerfService.exe
() C:\Program Files\Sony\VAIO Care\listener.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Improvement\vim.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Improvement\vim.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Care\VCSystemTray.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Care\VCService.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Care\VCAgent.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVBg] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1214608 2012-08-20] (Realtek Semiconductor)
HKLM\...\Run: [BtPreLoad] => C:\Program Files (x86)\Bluetooth Suite\BtPreLoad.exe [64640 2012-08-13] ()
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2916152 2012-08-21] (Synaptics Incorporated)
HKLM-x32\...\Run: [ISBMgr.exe] => C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe [68776 2012-08-18] (Sony Corporation)
HKLM-x32\...\Run: [PMBVolumeWatcher] => C:\Program Files (x86)\Sony\PlayMemories Home\PMBVolumeWatcher.exe [724576 2012-07-27] (Sony Corporation)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => c:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe [40312 2013-12-18] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Intel AppUp(SM) center] => C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe [152896 2012-06-25] (Intel Corporation)
HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [689744 2014-02-20] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
Winlogon\Notify\igfxcui: C:\WINDOWS\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-2680977331-1521156086-735915538-1001\...\Run: [BrowserChoice] => C:\Windows\BrowserChoice\browserchoice.exe [86816 2013-08-22] (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://vaioportal.sony.eu
SearchScopes: HKCU - DefaultScope {6B177FC3-06FF-4D49-A361-526B4B33CFE6} URL = hxxp://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=MASEJS
SearchScopes: HKCU - {6B177FC3-06FF-4D49-A361-526B4B33CFE6} URL = hxxp://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=MASEJS
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: CIESpeechBHO Class - {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll (Qualcomm Atheros Commnucations)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: DealPly Shopping - {9cf699ca-2174-4ed8-bec1-ba82095edce0} - C:\Program Files (x86)\DealPly\DealPlyIE.dll No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF Plugin: @java.com/DTPlugin,version=10.5.0 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.5.0 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=2.1.42 - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=10.5.0 - C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.5.0 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @WildTangent.com/GamesAppPresenceDetector,Version=1.0 - C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\1\NP_wtapp.dll ()
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK

Chrome: 
=======
Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AtherosSvc; C:\Program Files (x86)\Bluetooth Suite\adminservice.exe [211584 2012-08-13] (Qualcomm Atheros Commnucations)
R2 Intel(R) ME Service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [128896 2012-08-06] (Intel Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [165760 2012-08-06] (Intel Corporation)
S3 NetworkSupport; C:\Program Files (x86)\Sony\VAIO Control Center\NetworkSetting\NetworkSupport.exe [623784 2012-08-18] (Sony Corporation)
R2 PMBDeviceInfoProvider; C:\Program Files (x86)\Sony\PlayMemories Home\PMBDeviceInfoProvider.exe [474208 2012-07-27] (Sony Corporation)
R2 SampleCollector; C:\Program Files\Sony\VAIO Care\VCPerfService.exe [156672 2012-08-06] ()
S3 VCFw; C:\Program Files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [972000 2012-08-08] (Sony Corporation)
R3 VUAgent; C:\Program Files\Sony\VAIO Update\VUAgent.exe [1266336 2012-07-24] (Sony Corporation)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [348392 2013-10-31] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23824 2013-10-31] (Microsoft Corporation)
R2 ZAtheros Bt&Wlan Coex Agent; C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [323584 2012-08-13] (Atheros)

==================== Drivers (Whitelisted) ====================

S0 ADP80XX; C:\Windows\System32\drivers\ADP80XX.SYS [782176 2013-08-22] (PMC-Sierra)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-19] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [131576 2013-12-19] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\system32\DRIVERS\avkmgr.sys [28600 2013-11-25] (Avira Operations GmbH & Co. KG)
S3 bcmfn2; C:\Windows\System32\drivers\bcmfn2.sys [17624 2013-08-13] (Windows (R) Win 7 DDK provider)
R3 BthLEEnum; C:\Windows\system32\DRIVERS\BthLEEnum.sys [224768 2013-08-22] (Microsoft Corporation)
R1 CLVirtualDrive; C:\Windows\system32\DRIVERS\CLVirtualDrive.sys [92536 2012-06-25] (CyberLink)
S3 iaLPSSi_GPIO; C:\Windows\System32\drivers\iaLPSSi_GPIO.sys [24568 2013-07-30] (Intel Corporation)
S3 iaLPSSi_I2C; C:\Windows\System32\drivers\iaLPSSi_I2C.sys [99320 2013-07-25] (Intel Corporation)
S0 iaStorAV; C:\Windows\System32\drivers\iaStorAV.sys [651248 2013-08-10] (Intel Corporation)
R0 intelpep; C:\Windows\System32\drivers\intelpep.sys [39768 2013-12-11] (Microsoft Corporation)
S0 LSI_SAS3; C:\Windows\System32\drivers\lsi_sas3.sys [81760 2013-08-22] (LSI Corporation)
R3 NdisVirtualBus; C:\Windows\System32\drivers\NdisVirtualBus.sys [16384 2013-08-22] (Microsoft Corporation)
S3 netvsc; C:\Windows\system32\DRIVERS\netvsc63.sys [87040 2013-08-22] (Microsoft Corporation)
S3 ReFS; C:\Windows\System32\Drivers\ReFS.sys [924512 2013-08-22] (Microsoft Corporation)
S3 SerCx2; C:\Windows\System32\drivers\SerCx2.sys [146776 2013-12-11] (Microsoft Corporation)
R3 SmbDrvI; C:\Windows\system32\DRIVERS\Smb_driver_Intel.sys [43832 2012-08-21] (Synaptics Incorporated)
R3 SOWS; C:\Windows\System32\drivers\sows.sys [24280 2012-06-11] (Sony Corporation)
S0 stornvme; C:\Windows\System32\drivers\stornvme.sys [57176 2013-12-11] (Microsoft Corporation)
S3 UEFI; C:\Windows\System32\drivers\UEFI.sys [26976 2013-08-22] (Microsoft Corporation)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [124760 2013-10-31] (Microsoft Corporation)
S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-04-16 20:58 - 2014-04-16 20:58 - 00012592 _____ () C:\Users\Ralf\Desktop\FRST.txt
2014-04-16 20:58 - 2014-04-16 20:58 - 00000000 ____D () C:\Users\Ralf\Desktop\FRST-OlderVersion
2014-04-16 19:22 - 2014-04-16 19:22 - 00000000 ____D () C:\Program Files (x86)\ESET
2014-04-16 19:20 - 2014-04-16 19:20 - 00003358 _____ () C:\Users\Ralf\Desktop\mbam.txt
2014-04-16 17:56 - 2014-04-16 19:19 - 00119512 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys
2014-04-16 17:56 - 2014-04-16 17:56 - 00001162 _____ () C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2014-04-16 17:56 - 2014-04-16 17:56 - 00000000 ____D () C:\ProgramData\Malwarebytes
2014-04-16 17:56 - 2014-04-16 17:56 - 00000000 ____D () C:\Program Files (x86)\ Malwarebytes Anti-Malware 
2014-04-16 17:56 - 2014-04-03 09:51 - 00088280 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2014-04-16 17:56 - 2014-04-03 09:51 - 00063192 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mwac.sys
2014-04-16 17:56 - 2014-04-03 09:50 - 00025816 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2014-04-16 17:55 - 2014-04-16 17:55 - 17305616 _____ (Malwarebytes Corporation ) C:\Users\Ralf\Downloads\mbam-setup-2.0.1.1004.exe
2014-04-16 00:56 - 2014-04-16 20:58 - 00000000 ____D () C:\FRST
2014-04-16 00:55 - 2014-04-16 20:58 - 02158592 _____ (Farbar) C:\Users\Ralf\Desktop\FRST64.exe
2014-04-13 21:37 - 2014-04-13 21:37 - 00000000 ____D () C:\Program Files\Common Files\Atheros
2014-04-13 20:48 - 2014-03-31 03:16 - 23134208 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.dll
2014-04-13 20:48 - 2014-03-31 01:57 - 17073152 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\mshtml.dll
2014-04-13 20:48 - 2014-03-10 12:35 - 02008408 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\ntfs.sys
2014-04-13 20:48 - 2014-03-10 12:35 - 00377176 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\clfs.sys
2014-04-13 20:48 - 2014-03-06 11:19 - 01287576 _____ (Microsoft Corporation) C:\WINDOWS\system32\kernel32.dll
2014-04-13 20:48 - 2014-03-06 11:02 - 01109424 _____ (Microsoft Corporation) C:\WINDOWS\system32\KernelBase.dll
2014-04-13 20:48 - 2014-03-06 08:17 - 00835584 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\KernelBase.dll
2014-04-13 20:48 - 2014-03-06 08:10 - 01036288 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\kernel32.dll
2014-04-13 20:47 - 2014-04-13 20:47 - 02724864 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\mshtml.tlb
2014-04-13 20:47 - 2014-04-13 20:47 - 02724864 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.tlb
2014-04-07 01:36 - 2014-04-07 01:36 - 00035328 _____ () C:\Users\Ralf\Downloads\Geburtstage.xls
2014-04-01 01:01 - 2014-02-22 14:16 - 00139776 _____ (Microsoft Corporation) C:\WINDOWS\system32\poqexec.exe
2014-04-01 01:01 - 2014-02-22 13:24 - 00124416 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\poqexec.exe
2014-03-18 19:07 - 2014-01-08 03:46 - 00325464 ____C (Microsoft Corporation) C:\WINDOWS\system32\Drivers\USBXHCI.SYS
2014-03-18 19:07 - 2014-01-08 03:41 - 01530712 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\dxgkrnl.sys
2014-03-18 19:07 - 2014-01-08 03:41 - 00382808 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\dxgmms1.sys
2014-03-18 19:07 - 2014-01-04 17:54 - 00138240 _____ () C:\WINDOWS\system32\OEMLicense.dll
2014-03-18 19:07 - 2014-01-04 17:08 - 00103936 _____ () C:\WINDOWS\SysWOW64\OEMLicense.dll
2014-03-18 19:07 - 2014-01-04 16:08 - 00206336 _____ (Microsoft Corporation) C:\WINDOWS\system32\WSClient.dll
2014-03-18 19:07 - 2014-01-04 15:53 - 00174592 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\WSClient.dll
2014-03-18 19:07 - 2014-01-03 01:54 - 00461312 _____ (Microsoft Corporation) C:\WINDOWS\system32\XpsGdiConverter.dll
2014-03-18 19:07 - 2014-01-03 01:48 - 00336896 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\XpsGdiConverter.dll
2014-03-18 19:07 - 2014-01-01 03:55 - 01720560 _____ (Microsoft Corporation) C:\WINDOWS\system32\ntdll.dll
2014-03-18 19:07 - 2014-01-01 03:52 - 00481944 _____ (Microsoft Corporation) C:\WINDOWS\system32\mfsvr.dll
2014-03-18 19:07 - 2014-01-01 02:56 - 01472048 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\ntdll.dll
2014-03-18 19:07 - 2014-01-01 02:55 - 00381168 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\mfsvr.dll
2014-03-18 19:07 - 2014-01-01 01:59 - 00802816 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\MFMediaEngine.dll
2014-03-18 19:07 - 2014-01-01 01:57 - 01214976 _____ (Microsoft Corporation) C:\WINDOWS\system32\schedsvc.dll
2014-03-18 19:07 - 2014-01-01 01:56 - 00960512 _____ (Microsoft Corporation) C:\WINDOWS\system32\MFMediaEngine.dll
2014-03-18 19:07 - 2013-12-31 01:34 - 00218112 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\sti.dll
2014-03-18 19:07 - 2013-12-31 01:33 - 00770560 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\ReAgent.dll
2014-03-18 19:07 - 2013-12-31 01:32 - 00303616 _____ (Microsoft Corporation) C:\WINDOWS\system32\sti.dll
2014-03-18 19:07 - 2013-12-31 01:31 - 00947712 _____ (Microsoft Corporation) C:\WINDOWS\system32\reseteng.dll
2014-03-18 19:07 - 2013-12-31 01:31 - 00914944 _____ (Microsoft Corporation) C:\WINDOWS\system32\ReAgent.dll
2014-03-18 19:07 - 2013-12-27 17:09 - 00419160 _____ (Microsoft Corporation) C:\WINDOWS\system32\hal.dll
2014-03-18 19:07 - 2013-12-27 10:57 - 00842752 _____ (Microsoft Corporation) C:\WINDOWS\system32\MsSpellCheckingFacility.dll
2014-03-18 19:07 - 2013-12-27 10:57 - 00628736 _____ (Microsoft Corporation) C:\WINDOWS\system32\SettingSyncHost.exe
2014-03-18 19:07 - 2013-12-27 10:23 - 00749056 _____ (Microsoft Corporation) C:\WINDOWS\system32\SettingSyncCore.dll
2014-03-18 19:07 - 2013-12-27 09:03 - 00630272 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\MsSpellCheckingFacility.dll
2014-03-18 19:07 - 2013-12-27 09:03 - 00478208 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\SettingSyncHost.exe
2014-03-18 19:07 - 2013-12-27 08:37 - 00588800 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\SettingSyncCore.dll
2014-03-18 19:07 - 2013-12-21 09:21 - 00376320 _____ (Microsoft Corporation) C:\WINDOWS\system32\pnrpsvc.dll
2014-03-18 19:07 - 2013-12-17 09:21 - 00408576 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\rdbss.sys
2014-03-18 19:07 - 2013-12-14 08:31 - 13949440 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\Windows.UI.Xaml.dll
2014-03-18 19:07 - 2013-12-14 08:19 - 18576384 _____ (Microsoft Corporation) C:\WINDOWS\system32\Windows.UI.Xaml.dll
2014-03-18 19:07 - 2013-12-13 12:54 - 00131160 _____ (Microsoft Corporation) C:\WINDOWS\system32\easinvoker.exe
2014-03-18 19:07 - 2013-12-13 08:36 - 00178176 _____ (Microsoft Corporation) C:\WINDOWS\system32\easwrt.dll
2014-03-18 19:07 - 2013-12-13 07:32 - 00140800 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\easwrt.dll
2014-03-18 19:07 - 2013-12-09 10:05 - 21199256 _____ (Microsoft Corporation) C:\WINDOWS\system32\shell32.dll
2014-03-18 19:07 - 2013-12-09 06:51 - 18643560 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\shell32.dll

==================== One Month Modified Files and Folders =======

2014-04-16 20:58 - 2014-04-16 20:58 - 00012592 _____ () C:\Users\Ralf\Desktop\FRST.txt
2014-04-16 20:58 - 2014-04-16 20:58 - 00000000 ____D () C:\Users\Ralf\Desktop\FRST-OlderVersion
2014-04-16 20:58 - 2014-04-16 00:56 - 00000000 ____D () C:\FRST
2014-04-16 20:58 - 2014-04-16 00:55 - 02158592 _____ (Farbar) C:\Users\Ralf\Desktop\FRST64.exe
2014-04-16 20:00 - 2013-08-22 17:36 - 00000000 ____D () C:\WINDOWS\system32\sru
2014-04-16 19:28 - 2013-12-11 18:29 - 01497848 _____ () C:\WINDOWS\WindowsUpdate.log
2014-04-16 19:22 - 2014-04-16 19:22 - 00000000 ____D () C:\Program Files (x86)\ESET
2014-04-16 19:20 - 2014-04-16 19:20 - 00003358 _____ () C:\Users\Ralf\Desktop\mbam.txt
2014-04-16 19:19 - 2014-04-16 17:56 - 00119512 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys
2014-04-16 19:07 - 2013-08-14 09:23 - 00000000 ____D () C:\WINDOWS\system32\MRT
2014-04-16 19:07 - 2013-08-09 18:03 - 90655440 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2014-04-16 19:07 - 2013-08-07 13:39 - 00003598 _____ () C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-2680977331-1521156086-735915538-1001
2014-04-16 19:00 - 2013-09-30 06:14 - 01776918 _____ () C:\WINDOWS\system32\PerfStringBackup.INI
2014-04-16 19:00 - 2013-09-30 05:56 - 00765582 _____ () C:\WINDOWS\system32\perfh007.dat
2014-04-16 19:00 - 2013-09-30 05:56 - 00159366 _____ () C:\WINDOWS\system32\perfc007.dat
2014-04-16 18:56 - 2013-09-29 21:04 - 00004258 _____ () C:\WINDOWS\PFRO.log
2014-04-16 18:56 - 2013-08-22 16:45 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT
2014-04-16 18:55 - 2013-08-22 15:25 - 00262144 ___SH () C:\WINDOWS\system32\config\BBI
2014-04-16 17:56 - 2014-04-16 17:56 - 00001162 _____ () C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2014-04-16 17:56 - 2014-04-16 17:56 - 00000000 ____D () C:\ProgramData\Malwarebytes
2014-04-16 17:56 - 2014-04-16 17:56 - 00000000 ____D () C:\Program Files (x86)\ Malwarebytes Anti-Malware 
2014-04-16 17:55 - 2014-04-16 17:55 - 17305616 _____ (Malwarebytes Corporation ) C:\Users\Ralf\Downloads\mbam-setup-2.0.1.1004.exe
2014-04-16 17:40 - 2013-12-11 20:34 - 00003934 _____ () C:\WINDOWS\System32\Tasks\User_Feed_Synchronization-{ABE9610A-17BF-4A86-9BB5-D57643C00964}
2014-04-16 01:04 - 2013-08-22 16:46 - 00293394 _____ () C:\WINDOWS\setupact.log
2014-04-14 01:18 - 2013-08-22 17:36 - 00000000 ____D () C:\WINDOWS\AppReadiness
2014-04-13 21:38 - 2013-08-07 18:12 - 00000000 ____D () C:\ProgramData\Microsoft Help
2014-04-13 21:37 - 2014-04-13 21:37 - 00000000 ____D () C:\Program Files\Common Files\Atheros
2014-04-13 21:37 - 2013-08-22 16:46 - 00000262 _____ () C:\WINDOWS\setuperr.log
2014-04-13 21:37 - 2012-11-03 21:14 - 00000000 ____D () C:\Program Files (x86)\Bluetooth Suite
2014-04-13 20:47 - 2014-04-13 20:47 - 02724864 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\mshtml.tlb
2014-04-13 20:47 - 2014-04-13 20:47 - 02724864 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.tlb
2014-04-07 01:36 - 2014-04-07 01:36 - 00035328 _____ () C:\Users\Ralf\Downloads\Geburtstage.xls
2014-04-03 09:51 - 2014-04-16 17:56 - 00088280 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2014-04-03 09:51 - 2014-04-16 17:56 - 00063192 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mwac.sys
2014-04-03 09:50 - 2014-04-16 17:56 - 00025816 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2014-04-02 19:00 - 2013-08-22 17:36 - 00000000 ____D () C:\WINDOWS\rescache
2014-04-01 00:52 - 2013-08-07 15:40 - 00000000 ____D () C:\Users\Ralf\Daten Christa
2014-03-31 23:23 - 2013-08-22 17:38 - 00693240 _____ (Adobe Systems Incorporated) C:\WINDOWS\SysWOW64\FlashPlayerApp.exe
2014-03-31 23:23 - 2013-08-22 17:38 - 00105464 _____ (Adobe Systems Incorporated) C:\WINDOWS\SysWOW64\FlashPlayerCPLApp.cpl
2014-03-31 03:16 - 2014-04-13 20:48 - 23134208 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.dll
2014-03-31 01:57 - 2014-04-13 20:48 - 17073152 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\mshtml.dll
2014-03-18 23:04 - 2013-08-07 19:10 - 00059904 ___SH () C:\Users\Ralf\Desktop\Thumbs.db
2014-03-18 23:03 - 2013-08-07 13:23 - 00000000 ___RD () C:\Users\Ralf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-03-18 23:03 - 2013-08-07 13:23 - 00000000 ___RD () C:\Users\Ralf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
2014-03-18 21:08 - 2013-08-22 17:36 - 00000000 ___RD () C:\WINDOWS\ToastData
2014-03-18 20:03 - 2013-08-22 15:25 - 00262144 ___SH () C:\WINDOWS\system32\config\ELAM

Some content of TEMP:
====================
C:\Users\Ralf\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2014-04-16 19:07

==================== End Of Log ============================

--- --- ---

--- --- ---

sunjojo · 17.04.2014, 10:13

Hi,

wenn du jetzt keine weiteren Probleme mehr hast, sind wir fertig. Du hattest Malware auf dem Rechner, die persönliche Daten mitliest. Deswegen empfehle ich dir, alle Zugangsdaten und Bankdaten zu ändern!

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

C:\Users\Ralf\AppData\Local\Microsoft\Windows\INetCache\IE\JA4BOJYF

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Updates
Java Version 7 Update 51
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 51 ) herunter laden.
Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
Klicke erneut OK.

Adobe Reader Version XI (11.0.06)

Deinstalliere bitte deine aktuelle(n) Version(en) des Adobe Readers.
Lade dir die neuste Version hier herunter: Adobe - Adobe Reader herunterladen - Alle Versionen
Entferne den Hacken für das optionale Programm "McAfee Security Scan Plus".

Cleanup
Falls du Malwarebytes Anti-Malware und den ESET Online Scanner nicht mehr behalten möchtest, kannst du diese über die Systemsteuerung deinstallieren. Ich empfehle dir, mindestens ein Programm zu behalten (näheres in den Tipps).

Windows XP: Start --> Systemsteuerung --> Kategorieansicht auswählen (falls nicht voreingestellt) --> Software
Windows Vista/7: Start --> Systemsteuerung --> Anzeige (oben-rechts) auf Kategorie stellen (falls nicht voreingestellt) --> Programme deinstallieren (Unterpunkt von Programme)
Windows 8: Suchen --> "Systemsteuerung" in das Suchfeld eingeben --> Systemsteuerung auswählen --> Programme deinstallieren (Unterpunkt von Programme)

Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

In deinen Logfiles sehe ich im Moment keine schädlichen Einträge mehr, du bist in meinen Augen Clean. Für die Zukunft habe ich dir Tipps aufgeschrieben, damit du uns in nächster Zeit nicht mehr brauchst

.

Tipps - Frequently Asked Questions (FAQ)/Häufig gestellte Fragen

Welcher Antivirenscanner ist der beste?

Die Antwort auf die Frage ist im Grunde einfach: keiner. Es gibt keinen Antivirenscanner, der immer alle Schädlinge sofort erkennt und dich 100%ig schützt. Alles vom Menschen geschaffene ist fehlerhaft und es ist ratsam, sich nur begrenzt darauf zu verlassen. Das heißt nicht, dass die Verwendung eines Antivirenprogramms keinen Sinn macht, aber es sollte als zusätzliche Hilfe angesehen werden. Die Hauptverantwortung liegt bei dir und deinem Verhalten im Internet selbst.

Benutze nur einen Antivirenscanner/Hintergrundwächter, niemals zwei oder mehrere. Diese könnten sich gegenseitig blockieren und dir mehr schaden, als helfen. Achte darauf, dass immer die neuesten Updates heruntergeladen werden. Ein veralteter Antivirenscanner ist nutzlos!
- Ein gutes Antivirenprogramm ist Emsisoft Anti-Malware.

Außerdem kannst du dein Betriebssystem mit On-Demand Sannern überprüfen. Solche Scanner laufen nicht permanent im Hintergrund, sondern scannen nur "auf Knopfdruck" dein System. Damit holst du dir eine zweite Meinung ein. Gute On-Demand Scanner, die auch wir zur Kontrolle benutzen, sind Malwarebytes Anti Malware und der ESET Online Scanner.
- Malwarebytes Anti-Malware (Anleitung zur Verwendung) ist eines der besten und zuverlässigsten Programme in der Malwareentfernung. Scanne dein System einmal pro Woche oder einmal in zwei Wochen.
- Der ESET Online Scanner (Anleitnung zur Verwendung) ist kostenlos und scannt dein System und deine Dateien sehr gründlich. Deswegen kann der Scan bei vielen Dateien mehrere Stunden dauern. Scanne dein System nach deinem eigenem Ermessen. Falls schädliche Dateien gefunden werden, handle nicht eigenmächtig!

Aber Updates muss ich immer installieren, oder?

Die Aktualität von Software ist sehr wichtig und unbedingt notwendig. Veraltete Programme stellen Schwachstellen dar, die sich Angreifer gerne zur Nutze machen. Daher ist es wichtig, immer die neueste Version der jeweiligen Software installiert zu haben. Dies fängt beim Betriebssystem an. Du solltest das neueste Service Pack installiert und automatische Updates eingeschaltet haben.
Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Windows 8: Suchen --> "Systemsteuerung" in das Suchfeld eingeben --> Systemsteuerung auswählen --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Häufig werden Sicherheitslücken von älteren Java Versionen, dem Flash-Player und PDF-Reader ausgenutzt. Du kannst hier überprüfen, ob diese häufig missbrauchte Software aktuell ist: PluginCheck

Außerdem empfehle ich dir den http://www.trojaner-board.de/83959-s...tml#post510373. Dieser überprüft, ob du veraltete Software auf deinem Rechner verwendest und kann sie in manchen Fällen automatisch updaten.

Ok, muss ich auf etwas achten, wenn ich im Internet surfe?

Mit dem richtigen Verhalten im Internet fängt der Schutz vor Infektionen an. Es gibt inzwischen viele virtuelle Betrugsversuche oder Tricks zum Täuschen, sowie im echten Leben. Um sich dort zu schützen, hast du bestimmte Angewohnheiten. Diese können auf das Surfverhalten übertragen werden. Zur Verdeutlichung stelle ich dir einen kleinen Vergleich zum Leben her:

Verhalten im Leben	Verhalten im Internet
Du überprüfst vorher die Läden, in denen du einkaufst.	Klicke nicht auf alle Seiten/Werbungen/PopUps, weil diese bunt sind oder tolle Preise versprechen.
Du achtest auf die Qualität, wenn du Produkte kaufst.	Lade dir Programme nur von original Herstellerseiten herunter und nicht von Softonic oder ähnlichem. Diese birgen häufig die Gefahr, sich zusätzlich Adware herunterzuladen.
Du öffnest keine Briefe oder Pakete ohne zu gucken, von wem diese sind.	Öffne nur Anhänge von Emails, wenn der Absender bekannt ist. Überprüfe, ob zum Beispiel eine Rechnung im Anhang wirklich von der Firma versendet wurde. Häufig werden gefälschte Emails mit schädlichem Anhang verschickt!

Handle mit Bedacht und überlege zuerst, bevor du etwas anklickst, herunterlädst oder öffnest!

Vermeide das Besuchen von pornographischen, Pokerspiel oder weiteren dubiosen Webseiten. Diese birgen ein besonders großes Infektionsrisiko.

Welche Programme sollte ich nicht verwenden?

Wenn du neue Software installierst, besteht häufig die Auswahl, eine weitere Toolbar (oder ähnliches) zu installieren. Entferne generell den Haken bei optionalen Zusatzprogrammen. Diese verlangsamen in der Regel deinen Browser und können ein erhöhtes Infektionsrisiko bedeuten.

Registry Cleaner versprechen meist einen großen Performancegewinn, wenn verwaiste Einträge in der Regsitry entfernt werden. Dieser angebliche Gewinn ist kaum bis gar nicht bemerkbar. Außerdem wird häufig verschwiegen, dass falsche Änderungen der Registry zu schwerwiegenden Folgen führen können. Deswegen sollte so wenig wie möglich an der Registry verändert werden. Zerstörst du die Registry, zerstörst du Windows!

Filesharing oder Peer-to-Peer Programme ermöglichen es, Dateien mit anderen Nutzern auszutauschen. Es ist möglich, dass du dir eine infizierte Datei herunterlädst (auch versteckt in angeblich legalen Versionen von bekannten Programmen). Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art von Software mit äußerster Vorsicht oder gar nicht benutzt werden.
- Lade dir vor allem keine Cracks (illegale Version einer Software) herunter. Das ist rechtlich nicht erlaubt und du kannst dafür bestraft werden. Außerdem ist bei solcher Software das Infektionsrisiko am höchsten, da Cracks sehr häufig versteckte Malware enthalten.

Gibt es noch weitere Tipps, um mich zu schützen?

Achte auf die Endung von Dateien, die dir zugesendet wurden. Häufig versuchen Malwareschreiber mit Tricks wie Rechnung.pdf.exe dich zu täuschen. Wenn die Dateiendung ausgeblendet wird, bleibt Rechnung.pdf übrig, was den Anschein einer normalen PDF-Datei macht. Lass dir daher bekannte Dateiendung anzeigen (Anleitung: http://www.trojaner-board.de/59624-a...-sichtbar.html)

Surfe mit einem Konto mit eingeschränkten Rechten. Durch Administratorrechte kann Malware ohne Probleme zahlreiche Änderungen am System vornehmen, zum Beispiel Sicherheitseinstellungen verändern oder auf Systemdateien zugreifen.
Verwende nicht immer das gleiche Passwort. Falls dein Passwort durch entsprechende Malware herausgefunden wird, könnte auf alle Konten von dir zugegriffen werden.

Lege in regelmäßigen Abständen Backups (Was sind Backups?) von deinem System an. Dadurch ist ein Datenverlust durch Malware oder Hardwareschäden verkraftbar und es ist vergleichsweise einfach, den Rechner auf den Stand des letzten Backups zu bringen. Damit du deine Daten nicht manuell sichern musst, gibt es Backup-Programme wie Paragon Backup & Recovery.

Deaktiviere das Autorun-Feature von Windows. Dies ermöglicht, dass zum Beispiel CDs, DVDs oder Programme auf USB-Sticks alleine starten. Häufig nutzen Malwareschreiber genau diese Funktion aus. In solchen Fällen befindet sich Malware auf dem USB-Stick und wird automatisch beim Anschließen an den Computer ausgeführt. Um das zu verhinden, deaktiviere die Autorun-Funktion: http://www.trojaner-board.de/83238-a...sschalten.html.

Wenn dich das Thema Computersicherheit interessiert und du noch mehr Tipps und Tricks zum Schutz deines Rechners haben willst, ist der Emsisoft Blog genau richtig für dich

.

Wenn du die Arbeit des Trojaner-Boards unterstützen möchtest, kannst du gerne spenden

.

Ich wünsche dir eine schöne und malwarefreie Zeit

.

Kennt jemand azfucib.exe?

Plagegeister aller Art und deren Bekämpfung: Kennt jemand azfucib.exe?

Kennt jemand azfucib.exe?

Kennt jemand azfucib.exe?

Ähnliche Themen: Kennt jemand azfucib.exe?